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本 书 针对 信息 安全 领域 的 安全 技术 进行 全 面 系统 的 介绍 。 随 着 信息 网 络 技术 的 快速 
发 展 ， 信 息 安 全 技术 也 不 断 丰 富 和 完善 。 本 书 尽 可 能 涵盖 信息 安全 技术 的 主要 内 容 ， 对 
发 展 起 来 的 新 技术 做 介绍 。 同 时 增加 实践 内 容 ， 介 绍 相关 工具 软件 以 及 信息 安全 技术 实 
施 的 具体 方法 。 

本 书包 含 信息 安全 技术 基础 、 网 络 安全 技术 、 操 作 系 统 安全 技术 、 信 息 安全 产品 技 
术 、 应 用 开发 涉及 的 安全 技术 、 信 息 安全 建设 、 信 息 安全 技术 实践 等 内 容 。 

第 1 章 信息 网 络 安 全 基本 概念 ， 主 要 讲述 信息 安全 的 基本 概念 ， 以 及 信息 安全 涉及 
的 主要 术语 ， 如 信息 资产 、 系 统 漏洞 和 风险 评估 等 。 

第 2 章 密 码 技术 ， 密 码 学 是 信息 安全 技术 基础 ， 本 章 简单 明了 地 介绍 密码 学 原理 、 
对 称 与 非 对 称 加 密 算法 ， 以 及 数字 签名 、 数 字 证 书 等 主要 应 用 技术 。 

第 3 章 认证 技术 ， 本 章 在 密码 技术 的 基础 上 ， 介 绍 数字 认证 的 过 程 、 原 理 和 应 用 。 

第 4 章 安全 协议 ， 基 于 TCP/IP 安全 协议 ， 重 点 介绍 基于 TCP/IP 的 有 关 安 全 协议 ， 
包括 应 用 层 的 安全 协议 等 。 

第 5 章 安全 事件 处 理 ， 本 章 介绍 网 络 攻击 的 过 程 、 方 法 以 及 网 络 攻击 的 防范 与 响应 
技术 。 本 章 对 主要 的 网 络 攻击 手段 进行 分 析 ， 使 读者 对 各 种 网 络 攻击 有 全 面 的 了 解 。 此 
外 ， 对 于 网 络 安全 发 展 的 新 技术 ， 如 无 线 网 络 安全 、 传 感 网 络 安 全 ， 也 进行 了 介绍 。 

第 6 章 访问 控制 与 权限 设置 ， 介 绍 访问 控制 模型 和 方法 、 身 份 识别 和 认证 技术 的 应 用 。 

第 7 章 防火 墙 技术 ,第 8 章 入 侵 检 测 ， 第 9 章 系统 安全 扫描 技术 ,第 10 章 病 毒 防范 
与 过 滤 技术 ， 这 几 章 分 别 介绍 主流 的 网 络 安全 产品 的 原理 ， 并 对 这 些 网 络 安全 产品 应 用 
进行 了 说 明 。 

第 11 章 信息 安全 风险 评估 技术 , 介绍 信息 安全 风险 评估 策略 以 及 风险 评估 工具 等 内 容 。 

第 12 章 灾难 备份 与 恢复 技术 , 保持 业务 连续 性 是 灾难 备份 技术 的 目标 , 本 章 讲 述 灾 
难 防范 技术 、 灾 难 响 应 技术 、 灾 难 恢复 技术 以 及 如 何 制订 灾难 备份 与 响应 计划 等 内 容 。 

第 13 章 计 算 机 与 网 络 取证 技术 , 本 章 重 点 介绍 电子 取证 技术 基础 知识 , 包括 电子 证 
据 内 容 、 电 子 取证 基本 过 程 等 ， 并 对 取证 工具 进行 了 介绍 。 

第 14 章 操作 系统 安全 , 第 15 章 操作 系统 加 固 , 第 16 章 安全 审计 原则 与 实践 都 是 基 
于 操作 系统 安全 方面 的 安全 技术 , 分 别针 对 Windows、UNIX/Linux 系列 操作 系统 分 析 常 
见 的 安全 问题 ， 给 出 操作 系统 加 固 的 具体 方法 ， 介 绍 操作 系统 中 的 安全 审计 策略 和 相关 
工具 的 使 用 。 

第 17 章 应 用 开发 安全 技术 , 介绍 数据 库 应 用 以 及 软件 开发 过 程 中 的 安全 技术 。 特别 
对 Web 技术 以 及 电子 商务 过 程 中 的 安全 技术 进行 了 重点 介绍 。 

第 18 章 信息 安全 建设 标准 ， 第 19 章 构建 企业 安全 实践 ， 这 两 章 是 信息 安全 实践 内 
容 ， 在 介绍 一 般 信息 安全 建设 的 通用 原则 的 基础 上 ， 给 出 一 般 企业 进行 信息 安全 建设 的 
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具体 内 容 。 

本 书 内 容 翔 实 、 讲 解 透彻 ， 具 有 如 下 特色 。 

(1) 每 章 开始 都 列 出 本 章 的 学 习 重 点 。 每 章 的 第 一 节 介 绍 基本 概念 、 背 景 知识 。 在 
此 基础 上 对 信息 安全 技术 进行 深入 浅 出 的 介绍 。 

(2) 教材 文字 内 容 简 洁 、 清 晰 ， 尽 可 能 采用 插图 、 表 格 、 以 及 截图 的 方式 进行 说 明 。 

(3) 每 章 都 包含 有 技术 要 点 、 小 贴 士 以 及 一 些 提示 读者 注意 的 内 容 。 

(4) 每 章 都 有 习题 ， 帮 助 读 者 复习 本 章 的 主要 内 容 ， 掌 握 基 本 概念 和 基本 原理 。 

(5) 实践 与 思考 ， 采 用 给 出 情景 模拟 ， 提 出 问题 的 方式 ， 帮 助 读 者 进行 扩展 思路 ， 
更 深入 掌握 信息 安全 的 技术 内 涵 。 

(6) 每 章 都 给 出 扩展 学 习 资 源 ， 提 供 开源 工具 软件 下 载 以 及 扩展 阅读 列表 。 

本 书 由 杜 彦 辉 任 主编 ， 司 响 、 李 秋 锐 、 杜 锦 、 陈 光 宣 参与 编写 。 具 体 编写 分 工 为 
司 响 、 李 秋 锐 、 杜 锦 、 陈 光 宣 共同 编写 第 1 章 ， 司 响 负责 编写 第 2、3、6、7、9、10、 
14、15 和 19 章 ， 李 秋 锐 负责 编写 第 4、5、8、11、12、13、16 和 18 章 。 杜 锦 、 陈 光 宣 
负责 书稿 的 编写 和 审阅 ， 全 书 由 杜 彦 辉 统 稿 和 审阅 。 

由 于 时 间 仓 促 ， 不 妥 之 处 欢迎 读者 批评 指正 。 


编 者 
2012 年 5 月 
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第 1 草 ”信息 网 络 安全 基本 概念 


。 介绍 信息 安全 基本 术语 

。 了 解 网 络 环境 下 计算 机 安全 复杂 性 

。 理解 信息 系统 中 面临 的 威胁 种 类 

。 利用 风险 分 析 方法 对 信息 资产 进行 分 析 ， 确 定 信息 资产 中 面临 的 威胁 /漏洞 等 潜 

在 风险 ， 并 对 信息 进行 风险 管理 

信息 技术 的 迅速 发 展 把 人 类 推进 到 信息 革命 的 历史 潮流 ， 信 息 革命 成 为 人 类 第 三 次 
最 伟大 的 生产 力 革命 。 数 字 化 生存 的 方式 、 空 间 、 时 间 不 断 开 拓 ， 信 息 成 为 当今 社会 中 
须 奥 不 可 离开 的 基本 生活 要 素 ， 比 如 银行 账户 信息 、 个 人 邮件 数据 等 。 如 何 保证 计算 机 
系统 中 存储 数据 的 安全 受到 广泛 关注 。 


LLD 信息 安全 基础 


1. 计算 机 安全 


计算 机 安全 (Computer Security) 是 计算 机 与 网 络 领域 的 信息 安全 Information 
Security) 的 一 个 分 支 ， 其 目标 包括 保护 信息 免 受 未 经 授权 的 访问 、 中 断 和 修改 ， 同 时 为 
系统 的 预期 用 户 保持 系统 的 可 用 性 。 计 算 机 系统 安全 的 定义 是 : 为 数据 处 理 系统 建立 和 
采用 的 技术 以 及 管理 的 安全 保护 ， 保 护 计 算 机 硬件 、 软 件 和 数据 不 因 偶然 和 恶意 的 原因 
遭 到 破坏 、 更 改 和 泄露 。 由 于 它 的 目的 在 于 防止 不 需要 的 行为 发 生 而 非 使 得 某 些 行为 发 
生 ， 其 策略 和 方法 常 与 其 他 大 多 数 的 计算 机 技术 不 同 。 


2. 网络 安全 


网 络 安全 的 研究 对 象 是 整个 网 络 ， 研 究 领 域 比 计算 机 系统 安全 更 为 广泛 。 网 络 安全 
的 目标 是 要 创造 一 个 能 够 保证 整个 网 络 安全 的 环境 ， 包 括 网 络 内 的 计算 机 资源 、 网 络 中 
传输 及 存储 的 数据 和 计算 机 用 户 。 通 过 采用 各 种 技术 和 管理 措施 使 网 络 系统 正常 运行 ， 
从 而 确保 网 络 数据 的 可 用 性 、 完 整 性 和 保密 性 。 所 以 ， 建 立 网 络 安全 保护 措施 的 目的 是 
确保 经 过 网 络 传输 和 交换 的 数据 不 会 发 生 增 加 、 修 改 、 丢 失 和 泄露 等 问题 。 网 络 安全 涉 
及 的 领域 主要 包括 密码 学 设计 、 各 种 网 络 协议 的 通信 以 及 各 种 安全 实践 等 。 


3. 信息 安全 


信息 安全 作为 一 个 更 大 的 研究 领域 , 对 应 信息 化 的 发 展 , 信息 安全 包含 了 信息 环境 、 
信息 网 络 和 通信 基础 设施 、 媒 体 、 数 据 、 信 息 内 容 、 信 息 应 用 等 多 个 方面 的 安全 需要 。 
信息 安全 是 信息 化 社会 的 需要 ， 是 对 应 于 信息 不 安全 的 状态 ， 也 是 对 应 于 人 们 努力 的 结 
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果 。 信 息 安 全 是 为 防止 意外 事故 和 恶意 攻击 而 对 信息 基础 设施 、 应 用 服务 和 信息 内 容 的 
保密 性 、 完 整 性 、 可 用 性 、 可 控 性 和 不 可 否认 性 进行 的 安全 保护 。 


1.2) 信息 安全 面临 的 挑战 


1. 互联 网 体系 结构 的 开放 性 


互联 网 是 开放 式 体系 结构 ， 这 种 特性 推动 了 互联 网 的 迅速 发 展 ， 加 速 了 计算 机 产业 
和 网 际 空间 的 发 展 ， 但 同时 ， 因 为 缺少 整体 的 规划 ， 当 前 很 多 协议 制定 是 为 了 弥补 之 前 
的 设计 漏洞 ， 蓝 图 的 缺失 带 来 了 计算 机 网 络 基础 设施 和 协议 中 的 各 种 风险 。 

同时 ， 网 络 基础 设施 和 协议 的 设计 者 遵循 着 一 条 原则 一 一 尽 可 能 创造 用 户 友好 性 、 
透明 性 高 的 接口 ， 使 得 网 络 能 够 为 尽 可 能 多 的 用 户 提供 服务 ， 但 这 样 也 带 来 了 另外 的 问 
题 : 一 方面 用 户 容 易 忽 视 系 统 的 安全 状况 ， 另 一 方面 也 引 来 了 不 法 分 子 利用 网 络 的 漏洞 
来 满足 个 人 的 目的 。 


2. 网 络 基础 设施 和 通信 协议 的 缺陷 


伴随 开放 式 的 系统 结构 而 产生 的 问题 是 网 络 通信 协议 中 存在 的 漏洞 。 互 联网 是 一 个 
数据 包 网 络 ， 数 据 在 传输 的 时 候 首先 要 被 分 为 很 多 小 的 数据 包 ， 然 后 每 一 个 数据 包 各 自 
在 网 络 中 传输 。 在 接收 方 ， 数 据 包 又 被 重新 组 合 构成 原来 的 消息 。 为 了 能 够 正常 工作 ， 
数据 包 网 络 需 要 在 传输 节点 之 间 存 在 一 个 信任 关系 。 

由 于 在 传输 过 程 中 ， 数 据 包 需 要 被 拆 分 、 传 输 和 重组 ， 所 以 必须 保证 每 一 个 数据 包 
以 及 中 间 传输 单元 的 安全 。 然 而 ， 目 前 的 网 络 协议 并 不 能 做 到 这 一 点 。 

网 络 中 的 服务 器 主要 有 UDP 和 TCP 两 个 主要 的 通信 协议 ， 都 使 用 端口 号 来 识别 高 
层 的 服务 。 客 户 端 上 的 每 个 服务 利用 唯一 的 端口 号 向 服务 器 请 求 服务 ， 服 务 器 利用 端口 
号 来 识别 客户 所 请 求 的 服务 。 服 务 器 的 一 个 重要 的 安全 规则 就 是 当 服务 没有 被 使 用 的 时 
候 ， 要 关闭 其 所 对 应 的 端口 号 ， 如 果 服 务 器 不 提供 相应 的 服务 ， 那 么 端口 就 一 直 不 能 打 
开 。 即 使 服务 器 提供 相应 的 服务 ， 也 只 有 当 服务 被 合法 
使 用 的 时 候 端 口号 才能 被 打开 。 起 

客户 端 和 服务 器 进行 通信 之 前 , 要 通过 三 次 握手 过 ”人 
程 建立 TCP 连接 。 首 先 ， 客 户 端 向 服务 器 发 送 一 个 同 
步 (SYN) 数据 包 ; 然后 ， 服 务 器 响应 一 个 ACK 位 和 | 
SYN 位 置 位 的 数据 包 : 最 后 ， 客 户 端 响 应 一 个 ACK 位 


置 位 的 数据 包 。 图 1-1 给 出 了 三 次 握手 的 过 程 。 三 次 握 
手 过 程 存在 着 半 打 开 (half-open) 问题 ， 由 于 服务 器 对 
之 前 发 起 握手 的 客户 端 存 在 信任 关系 , 就 会 使 端口 一 直 
处 于 打开 状态 以 等 待 客户 端的 通信 , 而 这 个 特性 往往 会 
被 恶意 攻击 者 利用 。 图 1-1 三 次 握手 过 程 


3. 网 络 应 用 高 速 发 展 
造成 安全 问题 的 另 一 个 原因 是 用 户 的 数量 激增 。 互 联网 自从 20 世纪 60 年 代 早 期 诞 


客户 端 服务 器 
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生 以 来 , 得 到 了 快速 的 发 展 , 特别 是 最 近 10 年 时 间 , 在 用 户 使 用 数量 和 联网 的 电脑 数量 
上 有 了 爆炸 式 的 增加 。 

随 着 计算 机 用 户 规模 的 扩大 , 当前 许多 国家 的 重要 基础 设施 都 连接 在 全 球 的 网 络 中 ， 
同时 由 于 互联 网 的 易 用 性 和 低 准 入 性 的 提高 ， 很 多 恶意 攻击 者 也 进入 网 络 ， 使 得 网 络 中 
存储 的 大 量 数据 存在 重大 的 安全 隐患 , 对 个 人 利益 、 企业 利益 和 国家 防御 构成 极 大 威胁 。 


4. 黑客 


从 普通 用 户 角 度 来 看 ， 黑 客 是 对 计算 机 和 网 络 通信 构成 威胁 的 最 大 因素 ， 其 通过 使 
用 病毒 、 蠕 虫 以 及 拒绝 服务 等 攻击 手段 对 计算 机 以 及 网 络 通信 系统 发 动 毁灭 式 的 攻击 ， 
以 获取 个 人 利益 。 
黑客 一 词 有 着 双重 含义 。 现 在 ， 通 常 把 试图 突破 信息 系统 安全 、 侵 入 信息 系统 的 非 
授权 用 户 称 为 黑客 。 然 而 , 在 计算 机 发 展 的 早期 , 黑客 通常 是 指 那 些 精 于 使 用 计算 机 的 人 。 
黑客 的 范围 非常 广泛 ， 可 以 包含 以 下 儿 类 。 
(1) 窃取 商业 秘密 的 间谍 。 
(2) 意 在 破坏 对 手 网 站 的 和 平 活动 家 。 
(3) 寻找 军事 秘密 的 间谍 。 
(4) 热衷 于 恶作剧 的 青少年 。 
黑客 们 经 常 利用 网 络 交流 经 验 。 在 Intemet 上 能 很 容易 发 现 各 种 用 于 黑客 交流 技术 
手段 以 及 最 近 实施 攻击 经 验 的 网 站 。 黑 客 可 以 在 网 站 上 找到 用 于 攻击 计算 机 和 系统 的 知 
识 。 当 然 ， 这 些 网 站 对 于 安全 管理 者 也 有 很 大 的 帮助 ， 用 户 同 样 可 以 得 到 这 些 知 识 ， 以 
避免 受到 同样 的 攻击 。 


5， 恶意 软件 


恶意 软件 (Malware， 俗 称 “ 流 氓 软件 ”)， 也 可 以 被 称 为 广告 软件 Adware)、 间 谍 
软件 (Spyware)、 恶 意 共享 软件 (Malicious Shareware)。 与 病毒 或 蠕虫 不 同 ， 这 些 软件 很 
多 不 是 小 团体 或 者 个 人 秘密 地 编写 和 散播 的 ， 反 而 有 很 多 知名 企业 和 团体 涉嫌 此 类 软件 。 

恶意 软件 是 指 在 未 明确 提示 用 户 或 未 经 用 户 许可 的 情况 下 ， 在 用 户 计算 机 或 其 他 终 
端 上 安装 运行 ， 侵 犯 用 户 合法 权益 的 软件 。 恶 意 软件 具有 以 下 特点 。 

口 强制 安装 ” 指 在 未 明确 提示 用 户 或 未 经 用 户 许可 的 情况 下 ， 在 用 户 计算 机 或 其 

他 终端 上 安装 软件 的 行为 。 

口 难以 卸载 指 未 提供 通用 的 印 载 方式 ,或 在 不 受 其 他 软件 影响 、 人 为 破坏 的 情 

况 下 ， 印 载 后 仍 活动 程序 的 行为 。 

口 浏览 器 劫持 ” 指 未 经 用 户 许可 ， 修 改 用 户 浏览 器 或 其 他 相关 设置 ， 人 迫使 用 户 访 

问 特 定 网 站 或 导致 用 户 无 法 正常 上 网 的 行为 。 

口 广告 弹出 指 在 未 明确 提示 用 户 或 未 经 用 户 许可 的 情况 下 ， 利 用 安装 在 用 户 计 

算 机 或 其 他 终端 上 的 软件 弹出 广告 的 行为 。 

口 恶意 收集 用 户 信息 指 未 明确 提示 用 户 或 未 经 用 户 许可 ， 恶 意 收集 用 户 信息 的 
1 为 ; 
口 恶意 卸载 指 未 明确 提示 用 户 、 未 经 用 户 许 可 ， 或 误导 、 欺 骗 用 户 印 载 非 恶 意 


~ 


册 一 台 


信息 安全 技术 教程 


软件 的 行为 。 
口 恶意 捆绑 ” 指 在 软件 中 捆绑 已 被 认定 为 恶意 软件 的 行为 。 
其 他 侵犯 用 户 知情 权 、 选 择 权 的 恶意 行为 。 
6. 操作 系统 漏洞 


软件 错误 是 造成 计算 机 系统 严重 安全 威胁 的 重要 因素 之 一 ， 尤 其 是 网 络 操作 系统 的 
错误 。 操 作 系统 不 但 对 于 方便 快捷 地 使 用 计算 机 系统 起 到 重要 的 作用 ， 而 且 在 系统 安全 
方面 也 起 到 了 关键 作用 。 攻 击 者 会 利用 操作 系统 的 漏洞 取得 操作 系统 中 高 级 用 户 的 权限 ， 
进行 更 改 文件 ， 安 装 和 运行 软件 ， 格 式 化 硬盘 等 操作 。 

每 一 款 操作 系统 问世 的 时 候 本 身 都 存在 一 些 安全 问题 或 技术 缺陷 。 事 实 上， 操作 系 
统 的 安全 漏洞 是 不 可 避免 的 。 黑 客 常 寻找 操作 系统 的 辨识 信息 来 发 现 操作 系统 的 漏洞 ， 
利用 这 些 系统 的 漏洞 实施 攻击 或 破坏 。 


7. 内 部 安全 


恶意 的 内 部 攻击 是 另外 一 种 对 系统 安全 构成 重大 威胁 的 因素 。 这 是 一 种 最 为 隐秘 的 
威胁 ， 同 样 也 是 最 难 被 阻止 的 威胁 ， 因 为 涉及 合法 用 户 的 背叛 。 现 在 绝 大 多 数 的 安全 系 
统 都 会 阻止 恶意 攻击 者 靠近 系统 ， 用 户 面临 的 更 为 困难 的 挑战 是 控制 防护 体系 的 内 部 人 
员 进 行 破坏 活动 。 

在 组 织 内 部 需要 特别 注意 安全 专家 和 系统 管理 员 。 这 些 人 拥有 访问 系统 的 极 大 权限 ， 
一 旦 有 了 不 良 企图 ， 就 会 对 组 织造 成 严重 影响 。 因 此 在 设计 安全 控制 时 应 该 注意 不 要 给 
某 一 个 人 赋予 过 多 的 权利 。 


8. 社会 工程 学 


社会 工程 学 〈Social Engineering) 是 一 种 利用 受害 者 心理 弱点 、 本 能 反应 、 好 奇 心 、 
信任 、 贪 禁 等 心理 缺陷 进行 诸如 欺骗 、 伤 害 等 危害 手段 取得 自身 利益 的 手法 ， 近 年 来 已 
成 迅速 上 升 甚至 泛滥 的 趋势 。 社 会 工程 学 是 通过 搜集 大 量 的 信息 ， 针 对 对 方 的 实际 情况 
进行 心理 战术 的 一 种 手法 。 通 常 以 交谈 、 欺 骗 、 假 冒 或 口语 等 方式 ， 从 合法 用 户 中 套 取 
用 户 系 统 的 秘密 。 

实施 社会 工程 学 的 手段 有 很 多 ， 可 以 通过 网 络 、 电 话 ， 甚 至 书信 方式 扮演 拥有 系统 
访问 权 的 用 户 。 


1.3) 信息 安全 五 性 


1. 保密 性 


保密 性 服务 用 于 保护 系统 数据 和 信息 免 受 非 授权 的 泄密 攻击 。 当 数据 离开 一 个 特定 
系统 ， 例 如 网 络 中 的 服务 器 ， 就 会 暴露 在 不 可 信 的 环境 中 。 所 以 数据 的 接收 者 就 有 理由 
怀疑 在 数据 通信 的 过 程 中 有 可 能 会 受到 恶意 攻击 者 的 窃取 。 因 此 ， 保 密 性 服务 就 是 通过 
加 密 算 法 对 数据 进行 加 密 ， 确 保 其 处 于 不 可 信 环 境 中 也 不 会 泄露 。 
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在 网 络 环境 中 ， 对 数据 保密 性 构成 最 大 威胁 的 是 嗅 探 者 。 嗅 探 者 会 在 通信 信道 中 安 
装 嗅 探 器 ， 检 查 所 有 流 经 该 信道 的 数据 流量 。 而 加 密 算法 是 对 付 嗅 探 器 的 最 好 手段 。 加 
密 通过 一 个 加 密 算法 和 一 个 密 钥 对 数据 进行 处 理 ， 数 据 处 理 前 称 为 明文 ， 处 理 后 称 为 密 
文 。 加 密 算法 分 为 对 称 和 非 对 称 西 种 ， 对 称 加 密 算法 中 加 密 方 与 解密 方 有 相同 的 密 负 ， 
在 算法 过 程 中 ， 加 密 与 解密 共用 一 个 相同 密 钥 ， 而 非 对 称 加 密 算法 有 两 个 密 钥 : 一 个 可 
公开 的 公 钥 和 一 个 需要 妥善 保管 的 密 钥 ， 通 信 过 程 中 ， 发 送 方 使 用 接收 方 发 布 的 公 钥 进 
行 加 密 ， 加 密 后 只 有 接收 方 的 密 钥 才 可 以 进行 解密 。 

2， 完整 性 


完整 性 服务 用 于 保护 数据 免 受 非 授权 的 修改 ， 因 为 数据 在 传输 过 程 中 会 处 于 很 多 不 
可 信 的 环境 ， 其 中 存在 一 些 攻击 者 试图 对 数据 进行 恶意 修改 。Hash 算法 是 保护 数据 完整 
性 的 最 好 方法 ，Hash 算法 对 输入 消息 进行 相应 处 理 并 输出 一 段 代 码 ， 称 为 该 信息 的 消息 
摘要 。Hash 函数 具有 单 向 性 ， 所 以 在 发 送 方 发 送信 息 之 前 会 附 上 一 段 消息 搞 要， 用 于 保 
护 其 完整 性 。 


3. 可 用 性 


可 用 性 服务 用 于 保证 合法 用 户 对 信息 和 资源 的 使 用 不 会 被 不 正当 地 拒绝 。 在 不 可 信 
的 网 络 环境 中 ， 有 很 多 攻击 者 试图 通过 一 些 不 合理 的 请 求 来 阻碍 系统 正常 工作 ， 导 致 系 


统 无 法 正常 为 合法 用 户 提供 服务 。 可 用 性 的 降低 能 够 直接 降低 系统 资源 的 价值 ， 常 见 的 
攻击 为 拒绝 服务 攻击 。 
4. 可 控 性 


可 控 性 的 关键 为 对 网 络 中 的 资源 进行 标识 ， 通 过 身份 标识 达到 对 用 户 进行 认证 的 目 
的 。 一 般 系 统 会 通过 使 用 “用 户 所 知 ” 或 “用 户 所 有 ”来 对 用 户 进行 标识 ， 从 而 验证 用 
户 是 否 是 其 声称 的 身份 。 一 般 来 说 ， 认 证 的 因素 通常 包括 用 户 名 、 密 码 、 视 网 膜 、 指 纹 、 
物理 位 置 和 身份 卡 等 ， 其 中 视网膜 和 物理 位 置 说 明 如 下 。 

口 视网膜 用 户 的 眼睛 对 准 一 个 电子 设备 ， 该 电子 设备 可 以 记录 用 户 的 视网膜 信 

息 ， 根 据 该 信息 可 以 准确 标识 用 户 身份 。 

口 “ 物 理 位 置 ”系统 初始 设置 一 个 入 口 ， 只 有 规定 位 置 的 请 求 才 可 以 进入 。 在 网 络 
环境 中 ， 可 以 检查 被 认证 的 客户 端的 卫 地 址 来 进行 认证 。 而 这 种 方法 往往 不 是 
非常 可 靠 的 ， 所 以 常 与 其 他 的 认证 因素 配合 使 用 。 

5. 不 可 否认 性 


不 可 否认 服务 用 于 追溯 信息 或 服务 的 源头 。 在 现实 社会 中 ， 有 些 发 送 方 可 能 拒绝 承 
认 该 消息 或 信息 是 由 其 发 出 的 ， 而 在 网 络 环境 中 ， 这 种 情况 同样 可 能 发 生 。 为 了 制止 这 
种 情况 的 出 现 ， 可 使 用 数字 签名 技术 ， 通 过 数字 签名 使 其 信息 具有 不 可 替代 性 ， 而 信息 
的 不 可 替代 性 可 以 导致 两 种 结果 。 

(1) 在 认证 过 程 中 ， 双 方 通信 的 数据 可 以 不 被 恶意 的 第 三 方 肆 意 更 改 。 

(2) 在 认证 过 程 中 ， 信 息 具 有 高 认证 性 ， 并 且 不 会 被 发 送 方 否认 。 
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4 信息 安全 风险 分 析 


加 


信息 资产 确定 


信息 资产 大 致 分 为 物理 资产 、 知 识 资产 、 时 间 资 产 和 名 誉 资产 4 类 。 


口 
口 


口 
口 


2 


物理 资产 具有 物理 形态 的 资产 ， 例 如 : 服务 器 ， 网 络 连接 设备 ， 工 作 站 等 。 
知识 资产 其 可 以 为 任意 信息 的 形式 存在 ， 例 如 : 一 些 系统 软件 ， 数 据 库 或 者 
组 织 内 部 的 电子 邮件 等 。 

时 间 资 产 对 于 组 织 与 企业 来 说 ， 时 间 也 属于 一 种 宝贵 的 财产 。 

名 誉 资产 公众 对 于 一 个 企业 的 看 法 与 意见 也 可 以 直接 影响 其 业绩 ， 所 以 名 誉 
也 属于 一 种 重要 的 资产 ， 需 要 被 保护 。 
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对 资产 进行 标识 后 ， 下 一 步 就 是 对 这 些 资产 面临 的 威胁 进行 标识 ， 首 先 有 以 下 关键 
词 便于 理解 这 些 风险 。 


口 
口 


口 


三 者 的 关系 如 图 1-2 所 示 。 


3. 


安全 漏洞 ”安全 漏洞 即 存在 于 系统 之 中 ， 可 以 用 于 越过 系统 的 安全 防护 。 
安全 威胁 “安全 威胁 是 一 系列 可 能 
被 利用 的 漏洞 。 

安全 风险 ” 当 漏 洞 与 安全 威胁 同时 
存在 时 就 会 存在 安全 风险 。 


安全 漏洞 


风险 管理 


在 确定 了 资产 与 资产 面临 的 威胁 后 ,应 mo 
该 对 这 些 资产 进行 风险 管理 。 具体 来 说 ,， 风 ”图 12 安全 漏洞、 安全 威胁 和 安全 风险 三 者 关系 


险 管理 分 为 4 个 部 分 : 风险 规避 、 风 险 最 小 化 、 风 险 承担 、 风 险 转 移 。 


口 


口 


风险 规避 ”此 方法 为 最 简单 的 风险 管理 方法 ， 当 资产 收益 远大 于 操作 该 方法 所 
损失 的 收益 时 可 使 用 。 例 如 一 个 系统 可 能 把 员工 与 外 界 进 行 邮件 交换 视 为 一 个 
不 可 接受 的 安全 威胁 ， 因 为 他 们 认为 这 样 可 能 会 把 系统 内 的 秘密 信息 发 布 到 外 
部 环境 中 ， 所 以 系统 就 直接 禁用 邮件 服务 。 

风险 最 小 化 ”对 于 系统 来 说 ， 风 险 影 响 最 小 化 是 最 为 常见 的 风险 管理 方法 ， 该 
方法 的 具体 做 法 是 管理 员 进 行 一 些 预防 措施 来 降低 资产 面临 的 风险 ， 例 如 ， 对 
于 黑客 攻击 Web 服务 器 的 威胁 ， 管 理 员 可 以 在 黑客 与 服务 器 主机 之 间 建 立 防火 
墙 来 降低 攻击 发 生 的 概率 。 

风险 承担 ”管理 者 可 能 选择 承担 一 些 特定 的 风险 ， 并 将 其 造成 的 损失 当 作 运营 
成 本 ， 这 一 方法 称 为 风险 承担 。 这 种 情况 往往 出 现在 危险 发 生 的 概率 是 极其 低 
的 (例如 交通 设备 撞 上 数据 中 心 ) 或 者 是 不 可 避免 的 (例如 硬盘 工作 中 的 磨损 ) 
情况 下 ， 当 管理 员 选 择 了 这 一 风险 进行 风险 承担 时 ， 就 会 将 其 视 为 无 风险 。 
风险 转移 “作为 风险 转移 ， 最 为 常见 的 例子 就 是 保险 ， 当 一 个 人 对 自己 身体 健 
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康 状 态 担忧 时 ， 为 了 对 抗 生 病 的 风险 ， 可 以 为 自己 投入 保险 ， 保 险 公司 同 意 将 
此 风险 转移 ， 当 自己 身体 状况 真 的 出 问题 时 ， 保 险 公司 可 以 提供 相应 的 资金 帮 
助 其 进行 治疗 ， 同 样 的 道理 可 以 用 在 系统 维护 上 面 。 

在 现实 世界 中 ， 以 上 4 种 方法 都 不 是 独立 使 用 的 ， 一 般 来 说 ， 企 业 或 组 织 都 可 以 对 


4 种 方法 进行 综合 使 用 。 
习 题 
息 或 服务 源头 的 是 哪 一 项 ? (  ) 
一 、 选 择 是 A. 不 可 否认 性 
1. 由 来 自 于 系统 外 部 或 内 部 的 攻击 者 冒充 BE 
为 网 络 的 合法 用 户 获得 访问 权限 的 攻击 方法 是 下 人 可 用 住 
列 哪 一 项 ? (  ) D. 完整 性 
A. 黑客 攻击 二 、 问 答题 


B. 社会 工程 学 攻击 


C. 操作 系统 攻击 


1. 简 述 客户 端 和 服务 器 进行 通信 时 的 三 次 


D. 恶意 代码 攻击 握手 过 程 。 
2. 在 信息 安全 性 中 ， 用 于 提供 追溯 服务 信 2. 如 何 理解 信息 安全 五 性 ? 
LR 
课 后 实践 与 思考 
风险 评估 方案 


了 解 和 熟悉 风险 评估 的 内 容 ， 具 体 如 下 。 
口 风险 评估 准备 
口 风险 因素 识别 
口 风险 评估 方法 
一 、 资 产 评 估 

1. 资产 识别 〈 表 1-1) 


确定 评估 范围 、 组 织 评估 小 组 、 评 估 目 标 、 评 估 工 具 和 评估 方法 。 
资产 识别 、 威 胁 识别 、 脆 弱点 识别 。 
问卷 调查 、 工 具 检 测 、 人 工 核 查 、 文 档 查 阅 、 渗 透 性 测试 等 。 


表 1-1 资产 识别 


型 号 配置 | 购 机 年 限 


资产 


型 号 配置 | 购 机 年 限 


文档 和 数据 
人 力 资产 识别 


存储 形式 | 重要 性 程度 


岗位 描述 姓名 


业务 应 用 


设计 容量 《| 系统 负荷 


物理 环境 


| 适用 范围 描述 | 适用 年 限 


整体 负荷 | 重要 性 程度 
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2. 资产 赋值 ( 表 1-2) 


表 1-2 资产 赋值 


产 完整 性 


应 用 系统 


资产 评估 机 密 性 、 完 整 性 、 可 用 性 的 赋值 通过 调查 问卷 来 实现 ,问卷 题目 举例 如 下 。 

机 密 性 是 否 能 够 容纳 具有 不 同 密 钥 长 度 的 各 种 加 密 机 制 ? 
是 否 保证 SOAP 消息 级 的 机 密 性 ? 
加 密 签名 数据 时 ， 其 摘要 值 是 否 被 加 密 ?( 如 果 没 有 加 密 ， 攻 击 者 是 否 可 以 借 
此 推测 明文 ， 使 得 加 密 数 据 被 破坏 ? ) 
是 否 保证 网 络 传输 层 的 机 密 性 ? 

完整 性 是 否 为 加 密 后 的 数据 再 采用 签名 以 确保 初始 化 矢量 的 完整 性 不 被 破坏 ? (加 
密 算 法 中 使 用 的 初始 化 矢量 虽然 可 以 解决 为 给 定 密 钥 和 数据 创建 相同 密 文 的 
安全 问题 ， 但 初始 化 矢量 本 身 也 可 能 被 修改 ， 使 上 述 问题 再 次 出 现 。) 
是 否 采 用 的 多 种 签名 格式 ? 

可 用 性 加 密 的 工具 对 递归 深度 或 请 求 使 用 资源 数量 是 否 做 限制 ? 
选择 采用 合适 的 预防 措施 以 免 受 任何 潜在 的 拒绝 服务 的 攻击 。 


3. 重要 性 程度 的 赋值 

应 用 头脑 风暴 法 ， 即 根据 风险 预测 和 风险 识别 的 目的 和 要 求 ， 组 成 专家 组 ， 通 过 会 
议 形式 让 大 家 畅所欲言 ， 而 后 对 各 位 专家 的 意见 进行 汇总 、 综 合 ， 以 得 出 最 后 的 结论 。 

资产 评估 值 =Round {log 2 [2 “+2 全 +2 用 竹 ]} 

机 密 性 E (0，4)， 完 整 性 Ee (0，4)， 可 用 性 E (0，4)， 资 产 评估 值 E (0，4) 


二 、 威 胁 评估 
威胁 评估 和 等 级 划分 如 图 1-3 所 示 。 


威胁 发 生 的 可 能 性 
威胁 的 影响 程度 


硬件 资产 


三 | 刁 | 刁 


威胁 风险 系数 


重要 性 程度 


图 1-3 威胁 评估 和 等 级 划分 


| 风险 等 级 | 


风险 等 级 划分 见 表 1-3。 
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表 1-3 风险 等 级 划分 


风险 值 三 900 极 高 5 4 
900 二 风险 值 三 700 高 4 3 
700 二 风险 值 宇 500 中 3 多 
500 二 风险 值 三 300 低 2 中 
300> 风 险 值 极 低 下 0 


威胁 的 确定 有 以 下 两 种 方法 。 
(一 ) 通过 对 应 用 系统 、 网 络 系 统 、 文 档 和 数据 、 软 件 、 物 理 环境 设计 调查 问卷 ， 根 
据 答案 的 汇总 进行 确定 。 
网 络 安全 要 素 见 表 1-4。 
表 1-4 ”网络 安全 要 素 


身份 | 自主 访 标记 强制 访 | 数据 流 | 安全 | 数据 完 | 数据 保 | 可 信 抗 抵赖 
鉴别 | 问 控制 | ”"” | 问 控制 | 控制 | 审计 | 整 性 | 密 性 | 路 径 |” 
网 络 安全 功能 基本 要 求 说 明 如 下 。 
(1) 身份 鉴别 相关 问题 见 表 1-5。 
表 1-5 身份 鉴别 相关 问题 


用 户 识别 . 在 SSF 实施 所 要 求 的 动作 之 前 ， 是 否 对 提出 该 动作 要 求 的 用 户 进行 标识 ? 
.所 标识 用 户 在 信息 系统 生存 周期 内 是 否 具有 唯一 性 ? 
.对 用 户 标 识 信息 的 管理 、 维 护 是 否 可 被 非 授权 地 访问 、 修 改 或 删除 ? 

用 户 鉴别 .在 SSF 实施 所 要 求 的 动作 之 前 ， 是 否 对 提出 该 动作 要 求 的 用 户 进行 鉴别 ? 


。 能 否 提供 一 次 性 使 用 鉴别 数据 操作 的 鉴别 机 制 ? 
. 能 和 否 提供 不 同 的 鉴别 机 制 ? 根据 所 描述 的 多 种 鉴别 机 制 如 何 提供 鉴别 的 规则 ? 
。 能 否 规定 需要 重新 鉴别 用 户 的 事件 ? 

用 户 -主体 绑 定 ”对 一 个 已 识别 和 鉴别 的 用 户 ， 是 否 通过 用 户 - 主 体 绑 定 将 该 用 户 与 该 主体 相关 联 ? 


1 
有 
3 
1 
2. 是 否 检 测 并 防止 使 用 伪造 或 复制 的 鉴别 数据 ? 
3 
4 
5 


(2) 自主 访问 控制 相关 问题 见 表 1-6。 
表 1-6 自主 访问 控制 相关 问题 


访问 控制 策略 。 1. 是 否 按 确 定 的 自主 访问 控制 安全 策略 实现 主体 与 客体 建 操作 的 控制 ? 
2. 是 否 有 多 个 自主 访问 控制 安全 策略 ， 且 多 个 策略 独立 命名 ? 

访问 控制 功能 。” 1. 能 否 在 安全 属性 或 命名 的 安全 属性 组 的 客体 上 执行 访问 控制 SFP? 
2. 在 基于 安全 属性 的 允许 主体 对 客体 访问 的 规则 的 基础 上 , 能 否 允 许 主体 对 客体 
的 访问 ? 
3. 在 基于 安全 属性 的 拒绝 主体 对 客体 访问 的 规则 的 基础 上 , 能 否 拒 绝 主体 对 客体 
的 访问 ? 

访问 控制 范围 。 1. 每 个 确定 的 自主 访问 控制 ，SSF 是 否 覆 盖 网 络 系统 中 所 定义 的 主体 、 客 体 及 其 
之 间 的 操作 ? 
2. 每 个 确定 的 自主 访问 控制 ，SSF 是 否 覆 盖 网 络 系统 中 所 有 的 主体 、 客 体 及 其 之 
间 的 操作 ? 


访问 控制 粒度 ”网络 系统 中 自主 访问 控制 粒度 为 粗 粒 度 / 中 粒度 / 细 粒 度 ? 
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(3) 标记 相关 问题 见 表 1-7。 
表 1-7 标记 相关 问题 


主体 标记 是 否 为 强制 访问 控制 的 主体 指定 敏感 标记 ? 

客体 标记 是 否 为 强制 访问 控制 的 客体 指定 敏感 标记 ? 

标记 完整 性 敏感 标记 能 否 准确 表示 特定 主体 或 客体 的 访问 控制 属性 ? 

有 标记 信息 的 输出 1. 一 客体 信息 输出 到 一 个 具有 多 级 安全 的 IO 设备 时 ， 与 客体 有 关 的 敏感 标 
记 也 可 输出 吗 ? 


2. 对 于 单 级 安全 设备 ， 授 权 用 户 能 否 可 靠 地 实现 指定 的 安全 级 的 信息 通信 ? 


(4) 强制 访问 控制 相关 问题 见 表 1-8。 
表 1-8 ”强制 访问 控制 相关 问题 


访问 控制 策略 是 否 为 强制 访问 控制 的 主体 指定 敏感 标记 ? 
客体 标记 是 否 为 强制 访问 控制 的 客体 指定 敏感 标记 ? 
标记 完整 性 敏感 标记 能 否 准 确 表示 特定 主体 或 客体 的 访问 控制 属性 ? 


有 标记 信息 的 输出 1. 将 一 客体 信息 输出 到 一 个 具有 多 级 安全 的 IO 设备 时 ， 与 客体 有 关 的 敏感 标记 也 可 输出 ? 
2. 对 于 单 级 安全 设备 ， 授 权 用 户 能 否 可 靠 地 实现 指定 的 安全 级 的 信息 通信 ? 


(5) 用 户 数 据 完整 性 相关 问题 见 表 1-9。 


表 1-9 用 户 数据 完整 性 相关 问题 
1. 是 否 对 基于 用 户 属性 的 所 有 客体 ， 对 用 户 数据 进行 完整 性 检测 ? 
2. 当 检 测 到 完整 性 错误 时 ， 能 否 采取 必要 的 恢复 、 审 计 或 报警 措施 ? 
传输 数据 的 完整 性 1. 是 和 否 对 被 传输 的 用 户 数据 进行 检测 ? 
2. 数据 交换 恢复 若 没有 可 恢复 复 件 ， 能 否 向 源 可 信 IT 系统 提供 反馈 信息 ? 
处 理 数 据 的 完整 性 “对 信息 系统 处 理 中 的 数据 ， 能 否 通过 “ 回 退 ”进行 完整 性 保护 ? 


存储 数据 的 完整 性 


(6) 用 户 数据 保密 性 相关 问题 见 表 1-10。 


表 1-10 用 户 数据 保密 性 相关 问题 
存储 数据 的 保密 性 。 ”是 否 对 存储 在 SSC 内 的 用 户 数据 进行 保密 性 保护 ? 
传输 数据 的 保密 性 ”是否 对 在 SSC 内 的 用 户 数据 进行 保密 性 保护 ? 
客体 安全 重用 1. 将 安全 控制 范围 之 内 的 某 个 子 集 的 客体 资源 分 配给 某 一 用 户 或 进程 时 ， 是 
否 会 泄露 该 客体 中 的 原 有 信息 ? 
2. 将 安全 控制 范围 之 内 的 所 有 客体 资源 分 配给 某 一 用 户 或 进程 时 ， 是 否 会 汇 


露 该 客体 中 的 原 有 信息 ? 
具体 调查 问卷 举例 如 下 。 
调查 问卷 题目 
认证 是 否 提供 注册 服务 机 制 ? 


只 提供 点 到 点 的 认证 服务 还 是 提供 端 到 端的 认证 服务 ? 

是 否 更 新 现 有 的 身份 识别 以 符合 最 新 Web 服务 安全 规范 ? 
授权 对 访问 资源 提供 大 粒度 的 访问 控制 还 是 小 粒度 的 访问 控制 ? 

是 否 更 新 现 有 接 入 控制 安全 策略 以 满足 服务 安全 规范 ? 
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续 表 
调查 问卷 题目 
认证 成 功 之 后 ， 是 否 在 运行 时 根据 资源 访问 权限 列表 来 检查 服务 请 求 者 的 访问 
级 别 ? 
审计 性 管理 员 是 否 可 以 在 生命 周期 的 不 同时 刻 追踪 并 找 出 服务 请 求 ? 
哪些 技术 提供 了 不 可 否认 性 的 一 个 关键 元 素 ? 
不 可 否认 性 是 否 支持 不 可 否认 性 ?( 不 可 否认 性 使 得 用 户 能 够 证 明 事务 是 在 拥有 合法 证 书 的 


情况 下 进行 的 。) 
是 否 包含 时 间 戳 、 序 列 号 、 有 效 期 、 消 息 相关 等 元 素 ， 并 进行 签名 从 而 保证 消息 
的 唯一 性 ? 〈 当 缓存 这 些 信息 时 ， 可 以 检测 出 重 放 攻击 .。) 


(二 ) 通过 工具 进行 扫描 。 


Ys 
口 


口 


收费 威胁 扫描 工具 (内 网 威胁 发 现 解决 方案 )。 

核心 技术 “已 知 病毒 扫描 、 变 种 和 加 沉 恶 意 程序 扫描 、 恶 意 程序 行为 分 析 引 擎 、 
网 络 蠕虫 病毒 扫描 、 网 页 信誉 服务 。 

能 解决 的 问题 ”恶意 程序 实时 分 析 系统 、 恶 意 程序 的 深度 分 析 、 恶 意 程序 的 处 
置 建议 。 


口 可 得 出 的 结论 总 体 风险 等 级 、 感 染 源 统计 、 威 胁 统计 、 潜 在 风险 。 


I 


.免费 扫描 工具 。 


口 Nmap 网 络 安全 诊断 和 扫描 工具 ， 进 行 端口 扫描 ， 是 一 款 开放 源 代码 的 网 络 探 


口 


测 和 安全 审核 的 工具 ， 它 的 设计 目标 是 快速 地 扫描 大 型 网 络 。 

Nikto Web 服务 器 漏洞 扫描 工具 ，Nikto 是 一 款 开源 的 (GPL ) 网 页 服务 器 扫描 
器 ， 它 可 以 对 网 页 服务 器 进行 全 面 的 多 种 扫描 。 扫 描 项 和 插件 可 以 自动 更 新 。 
基于 Whisker/libwhisker 完成 其 底层 功能 。 这 是 一 款 非常 棒 的 工具 ， 但 其 软件 本 
身 并 不 经 常 更 新 ， 最 新 和 最 危险 的 可 能 检测 不 到 。 

X-scan、ISS、Nessus 漏洞 扫描 工具 。 


说 明 : 

众多 的 自动 化 扫描 工具 当中 ，Nessus 是 最 值得 称赞 的 。 它 基于 C/S 架构、 插件 结构 
的 自动 化 扫描 工具 ， 可 以 免费 使 用 ， 在 线 升 级 并 随时 获取 国内 外 安全 高 手 编写 的 最 新 漏 
洞 的 扫描 插件 。 目前 Nessus 的 插件 个 数 已 经 超过 14000 个 , 而 且 这 个 数量 正在 急速 上 升 ， 
因为 几乎 全 世界 的 安全 人 员 都 在 使 用 这 个 工具 , 其 中 有 很 多 黑客 会 向 Nessus 提供 自己 编 
写 的 插件 。 因 此 ,使 用 Nessus 进行 扫描 就 像 是 全 世界 的 顶尖 安全 人 员 都 在 用 他 们 的 技术 
在 帮助 人 们 检查 网 络 中 的 缺陷 。 

可 得 出 的 结论 : 漏洞 信息 摘要 、 漏 洞 的 详细 描述 、 解 决 方案 、 风 险 系 数 。 
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免费 风险 评估 系统 


ASSET 是 美国 国家 标准 及 时 协会 NIST 发 布 的 一 个 可 用 于 安全 风险 自我 评估 的 软件 


工具 ， 采 用 典型 的 基于 知识 的 分 析 方 法 ， 通 过 问卷 形式 自动 完成 信息 技术 系统 的 自我 安 


全 评估 ， 


由 此 了 解 系统 的 安全 现状 ， 并 提出 相对 的 对 策 。 


ASSET 下 载 地 址 : http://icat.nist.gov。 
其 他 常用 风险 评估 系统 见 表 1-11。 
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表 1-11 其 他 常用 风险 评估 系统 


名 称 @RISK ASSET BDSS CORA COBRA CRAMM RA/SYS RiskWatch 

体系 结构 ”单机 单机 单机 单机 CS 单机 单机 单机 

所 用 方法 ”专家 系统 基于 知识 ”专家 系统 过 程 式 专家 系统 过 程式 算法 过 程式 ”专家 系统 

算法 算法 

定性 /定量 定量 定性 /定量 ”定性 /定量 定量 定性 / 定 定性 /定量 ”定量 定性 /定量 
结合 结合 量 结合 ”结合 结合 

数据 采集 调查 文件 调查 问卷 ”调查 问卷 调查 调查 文件 过 程 过 程 调查 文件 

方式 文件 


输出 结果 ”决策 支持 提供 控制 目 安全 防护 决策 支 结 果 报 结 果 报 告 \ 风 风 险 等 风险 分 析 综 
信息 标 和 建议 ”措施 列表 持 信息 ” 告 、 风 险 险 等 级 级 、 控 制 合 报告 
等 级 措施 


三 、 文 档 审计 


(一 ) 手动 进行 审计 和 分 析 

1. 日 志 的 检查 和 分 析 

通过 对 日 志 的 查询 和 分 析 ， 快 速 对 潜在 的 系统 入 侵 做 出 记录 和 预测 ， 对 发 生 的 安全 
问题 进行 及 时 总 结 。 

(1) 关键 网 络 、 安 全 和 服务 器 日 志 进 行 备份 。 

(2) 定期 对 关键 网 络 、 安 全 设备 和 服务 器 日 志 进行 检查 和 分 析 ， 形 成 记录 。 

2. 权限 和 口令 管理 

(1) 对 关键 设备 按 最 新 安全 访问 原则 设置 访问 控制 权限 , 并 及 时 清理 见 余 系统 用 户 ， 
正确 分 配 用 户 权 限 。 

(2) 建立 口令 管理 制度 ， 定 期 修改 操作 系统 、 数 据 库 及 应 用 系统 管理 员 口 令 ， 并 有 
相关 记录 。 

(3) 登录 口令 修改 频率 不 低 于 每 月 一 次 。 

(4) 登录 口令 长 度 的 限制 ， 并 采用 数字 、 字 母 、 符 号 混 排 的 方式 。 

(5) 采取 限制 IP 登录 的 管理 措施 。 

3. 实时 监控 记录 

(1) 对 服务 器 、 主 干 网 络 设 备 的 性 能 进行 24 小 时 实时 监控 的 记录 进行 检查 。 

(2) 对 服务 器 、 主 干 网 络 设备 的 运行 情况 ， 对 实时 监控 的 记录 进行 检查 。 

(3) 对 网 络 流量 、 网 站 内 容 进行 实时 监控 ， 对 实时 监控 的 记录 进行 检查 。 

(二 ) 利用 安全 审计 和 文档 安全 工具 

绿 盟 、 天 融 信 均 有 安全 审计 查阅 工具 。 

可 实现 的 功能 如 下 。 

(1) 审计 查阅 : 提供 从 审计 记录 中 读 取 信息 的 能 力 。 

(2) 有 限 审计 查阅 : 审计 查阅 工具 应 禁止 具有 读 访 问 权 限 以 外 的 用 户 读 取 审 计 信息 。 

(3) 可 选 审计 查阅 : 审计 查阅 工具 应 具有 根据 准则 来 选择 要 查阅 的 审计 数据 的 功能 ， 
并 根据 某 种 逻辑 关系 的 标准 提供 对 审计 数据 进行 搜索 、 分 类 、 排 序 的 能 
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四 、 模 拟 渗透 测试 

渗透 测试 工具 通常 包括 黑客 工具 、 脚 步 文件 等 ， 分 为 免费 和 收费 两 种 。 

(1) 免费 渗透 测试 工具 : Dsniff。Dsni 企 是 一 个 优秀 的 网 络 审计 和 渗透 测试 工具 ， 是 
一 个 包含 多 种 测试 工具 的 软件 套件 。 

(2) 收费 渗透 测试 工具 : 天 融 信 的 渗透 测试 产品 。 

五 、 风 险 评估 结果 的 确定 


根据 心理 学 家 提出 的 “人 区 分 信息 等 级 的 极限 能 力 为 7 土 2” 的 研究 理论 ， 划 分 风险 
为 0 一 8 共 9 个 等 级 ， 见 表 1-12。 


表 1-12 风险 等 级 
等 级 描述 等 级 描述 
0 风险 度 极 低 5 风险 度 中 上 
1 风险 度 低 6 风险 度 高 
2 风险 度 偏 低 风险 度 较 高 
3 风险 度 中 下 8 风险 度 极 高 
4 风险 度 中 
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。 对 称 密码 算法 和 非 对 称 密码 算法 的 原理 及 特点 
。 在 信息 社会 中 密码 技术 的 安全 作用 

数字 签名 技术 

数字 证 书 

信息 隐藏 技术 

邮件 加 密 软件 PGP 的 原理 及 使 用 


2.1) 密码 学 基础 


@ -2:1:1 ”密码 学 历史 及 密码 系统 组 成 -、 


人 们 在 远古 时 代 就 已 经 开始 信息 的 保密 活动 ， 当 时 主要 应 用 于 战争 ， 战 场 上 信息 的 
可 靠 传递 往往 能 促使 战争 的 胜利 ， 对 作战 双方 具有 重要 意义 。 步 入 信息 社会 之 后 ， 传 统 
通信 方式 被 淘汰 ， 然 而 ， 现 代 化 的 数字 通信 模式 并 不 能 保证 信息 的 安全 ， 信 息 的 完整 性 
和 保密 性 比 以 往 任 何 时 候 都 更 加 重要 。 密 码 技术 在 保护 信息 安全 中 发 挥 着 越 来 越 大 的 作 
用 ， 实 现 防止 信息 泄露 、 保 护 个 人 隐私 以 及 全 球 电子 商务 可 信 性 的 目的 。 

一 个 密码 系统 由 以 下 4 个 基本 部 分 组 成 。 

口 明文 要 被 发 送 的 原文 消息 。 

口 密码 算法 ”由 加 密 和 解密 的 数学 算法 组 成 。 

口 密 文 明文 经 过 加 密 算法 加 密 之 后 得 到 的 结果 。 

口 密 钥 在 加 密 和 解密 过 程 中 使 用 的 一 系列 比特 串 。 

一 个 密码 算法 包含 一 对 可 逆 函 数 ， 一 个 用 来 加 密 ， 一 个 用 来 解密 。 加 密 过 程 使 用 加 
密 算法 和 密 钥 把 明文 消息 变 为 密 文 。 一 般 情况 下 ， 密 文通 常 是 不 可 读 的 。 因 此 ， 密 文 可 
以 在 不 可 信 的 信道 中 传输 。 

图 2-1 给 出 了 一 个 密码 系统 基本 的 组 成 。 其 中 m 代表 明文 消息 ,c 代表 密 文 消息 , E 
代表 加 密 算法 ，D 代表 解密 算法 ，k 代表 密 钥 。 


pL | 


Ki : 
发 加 密 CE(m) 解密 “| m=E:(O) 接 


图 2-1 密码 系统 组 成 
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@- -25T2ss 密码 的 作用 =- 


\ 
CN 了 


通过 应 用 密码 技术 可 以 实现 信息 的 保密 性 、 完 整 性 、 不 可 和 否认 性 和 可 控 性 。 在 一 个 
密码 系统 中 可 以 同时 实现 多 个 目标 。 例 如 , 许多 电子 邮件 的 加 密 系统 能 同时 实现 保密 性 、 
完整 性 和 不 可 否认 性 。 


1. 保密 性 


消息 的 发 送 者 使 用 密 钥 对 消息 进行 加 密 。 然 后 ， 消 息 以 不 可 读 的 密 文 形式 在 介质 中 
传输 。 在 消息 传输 途中 ， 拦 截 者 不 能 读 取消 息 的 本 意 ， 从 而 达到 了 保密 的 目的 。 当 消息 
到 达 目 的 地 之 后 ， 接 收 者 使 用 密 钥 对 消息 进行 解密 ， 恢 复 消 息 原文 。 


2. 完整 性 


密码 可 以 保证 被 接收 方 收 到 的 消息 在 传输 过 程 中 未 经 任何 变动 以 保护 其 完整 性 。 为 
了 实现 完整 性 ， 消 息 的 发 送 者 使 用 哈 希 函数 为 消息 产生 唯一 的 消息 摘要 ， 然 后 将 消息 搞 
要 和 消息 一 同 传递 。( 消 息 摘要 是 由 哈 希 函数 产生 的 一 串 字 符 , 每 则 消息 的 消息 摘要 是 唯 
一 的 , 并 且 任 意 两 则 消息 的 消息 摘要 都 是 不 同 的 。〉 当 这 则 消息 到 达 目 的 地 之 后 ,接收 者 
使 用 同样 的 哈 希 函数 来 计算 它 的 消息 摘要 ， 并 将 其 与 所 收 到 的 消息 摘要 进行 对 比 。 如 果 
这 两 个 摘要 是 一 致 的 ， 那 么 就 可 以 认定 消息 在 传输 的 过 程 中 没有 被 修改 。 

正如 上 文 所 述 , 消息 摘要 只 保障 了 消息 免 受 非 故意 的 更 改 (例如 传输 错误 )。 恶 意 第 
三 方 可 以 使 用 相同 的 哈 希 函数 来 产生 一 个 新 的 消息 摘要 ， 进 而 欺骗 接收 方 认为 消息 是 真 
实 的 。 基 于 这 个 原因 ， 消 息 摘要 通常 被 发 送 方 加 密 之 后 再 进行 传输 ， 这 样 就 产生 了 数字 
签名 。 接 收 方 通过 验证 数字 签名 能 够 保证 消息 没有 被 恶意 的 第 三 方 修改 。 


3. 不 可 否认 性 


数字 签名 还 可 以 向 用 户 提供 不 可 和 否认 性 。 不 可 和 否认 性 保证 了 消息 的 发 送 者 在 发 送 消 
息 之 后 不 能 否认 曾经 发 送 过 消息 。 例 如 ， 一 个 顾客 通过 电子 邮件 发 送 了 一 个 订单 ， 那 么 ， 
订单 接收 者 就 可 以 通过 数字 签名 证 明 这 个 订单 确实 是 顾客 发 送 的 而 并 非 自己 伪造 的 。 


4. 可 控 性 


用 户 或 系统 可 以 利用 密码 技术 向 其 他 的 用 户 或 系统 来 证 明 自己 的 身份 ， 可 以 通过 数 
字 证 书 来 完成 。 一 个 最 普通 的 加 密 认 证 系统 是 Kerberos 系统 ， 在 设计 之 初 ， 此 系统 是 使 
用 在 UNIX 环境 中 的 ， 而 现在 也 适用 于 Microsoft 环境 。 


6@ -2:13 密码 算法 一、 


如 前 所 述 ， 一 个 密码 算法 由 加 密 和 解密 算法 组 成 ， 这 是 密码 系统 的 核心 ， 是 实现 加 
解密 所 必需 的 基本 计算 。 根 据 加 解密 过 程 中 是 否 使 用 了 相同 的 密 钥 ， 可 以 将 密码 算法 分 
成 两 类 ， 对 称 密码 算法 和 非 对 称 密码 算法 。 
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理解 一 个 密码 算法 基本 功能 最 简单 的 方法 是 使 用 图 示 法 。 图 2-2 给 出 了 密码 算法 的 
基本 加 密 操 作 。 明 文 在 加 密 密 钥 的 作用 下 ， 通 过 加 密 算法 计算 产生 密 文 输出 。 


QnTtadk3 


图 2-2 密码 算法 基本 加 密 操作 
反 过 来 说 ,解密 是 相反 的 过 程 ， 如 图 2-3 所 示 。 密 文 输入 后 ， 在 解密 密 钥 的 作用 下 ， 
通过 解密 算法 计算 ， 产 生 明 文 输出 。 


解密 密 钥 


明 文 : 


hello! 


2-3 ”密码 算法 基本 解密 操作 


2.2) 对 称 密码 算法 


对 称 密码 算法 是 指 消息 的 发 送 者 和 接收 者 使 用 相同 的 密 钥 进 行 加 密 和 解密 的 算法 。 这 
个 密 钥 通常 被 称 为 共享 密 钥 或 秘密 密 钥 。 对称 密码 算法 的 安全 性 主要 依赖 于 算法 中 所 使 用 的 
密 钥 ， 密 钥 汇 露 就 意味 着 任何 人 都 可 以 对 密 文 解密 ， 所 以 密 钥 的 保密 对 通信 至 关 重 要 。 

对 称 密码 算法 又 被 分 为 两 类 : 流 密码 和 分 组 密码 。 流 密码 是 对 明文 消息 按 比 特 位 进 
行 加 密 (有 些 情况 是 按 字 节 进 行 加 密 )。 分 组 密码 是 对 明文 以 分 组 为 单位 进行 加 密 ， 每 个 
明文 分 组 通常 是 64 比特 或 128 比特 。 通 用 的 分 组 密码 包括 DES、AES、Blowfish、Twofish、 
Skipjack 和 RC2。 最 常见 的 流 密码 是 RC4。 


9- 22 一 DES: 算 法 =-、 


DES 是 最 通用 的 一 个 对 称 密码 算法 ， 最 早 由 美国 政府 开发 。 
1. 算法 描述 
DES 是 一 种 典型 的 分 组 密码 ， 明 文 分 组 长 度 是 64 位 ， 密 钥 的 长 度 表面 上 是 64 位 ， 
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实际 上 有 8 位 作为 奇偶 校 验 位 ， 因 此 有 效 密 钥 长 度 是 56 位 。 

DES 使 用 密 钥 来 自 定义 变换 过 程 ， 只 有 持 有 加 密 所 用 的 密 钥 的 用 户 才 能 解密 密 文 。 
密 钥 表面 上 是 64 位 的 ， 然 而 只 有 其 中 的 56 位 被 实际 用 于 算法 ， 其 余 8 位 被 用 于 奇偶 校 
验 ， 并 在 算法 中 被 丢弃 。 因 此 ，DES 的 有 效 密 钥 长 度 为 56 位 ， 通 常 称 DES 的 密 钥 长 度 
为 56 位 。 

2. 整体 结构 


算法 的 整体 结构 如 图 2-4 所 示 : 由 16 个 相同 的 处 理 过程 构 成 ， 并 在 首尾 各 有 一 次 
置换 ， 称 为 耳 与 JP ，IP” 为 了 P 的 反 函 数 ， 即 全“ 撤销 ”IP” 的 操作 ， 反 之 亦 然 。 初 始 
置换 他 用 于 对 明文 中 的 各 位 进行 换 位 ,目的 在 于 打 乱 明文 中 各 位 的 顺序 。 IP 和 IP” 几乎 
没有 密码 学 上 的 重要 性 ， 因 此 ， 为 了 简化 硬件 设计 而 被 显 式 地 包括 在 标准 中 。 

在 首次 处 理 之 前 ,数据 分 组 被 分 成 两 个 32 位 的 块 ， 并 被 分 别处 理 ; 这 种 交叉 的 方式 
被 称 为 Feistel 结构 。Feistel 结构 保证 了 加 密 和 解密 过 程 足够 相似 一 一 唯一 的 区 别 在 于 解 
密 时 子 密 钥 是 以 反 向 顺序 应 用 的 ， 而 剩余 部 分 均 相同 。 这 样 的 设计 大 大 简化 了 算法 的 实 
现 ， 尤 其 是 硬件 实现 ， 因 为 没有 区 分 加 密 算法 和 解密 算法 的 必要 。 

图 中 的 @ 符 号 代表 异 或 (XOR) 操作 。“F 函数 ”将 数据 半 块 与 某 个 子 密 钥 进行 处 理 。 
然后 ， 一 个 下 函数 的 输出 与 另 一 个 半 块 异 或 之 后 ， 再 与 原本 的 半 块 交换 顺序 ， 进 入 下 一 
个 循环 的 处 理 。 在 最 后 一 个 处 理 完成 时 ， 两 个 半 块 不 必 交 换 顺 序 ， 这 是 Feistel 结构 的 一 
个 特点 ， 以 保证 加 解密 的 过 程 相似 。 


初始 置换 IP 


L15=R14 


2-4 ”DES 整体 结构 图 
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3. F 函数 


图 2-5 显示 了 了 函数 的 数据 处 理 过 程 ， 每 次 对 半 块 〈32 位 ) 数据 进行 操作 ， 并 包括 
以 下 4 个 步骤 。 

(1) 扩张 。 用 扩张 置换 (图 中 的 E) 将 32 位 的 半 块 扩展 到 48 位 。 

(2) 与 密 钥 混合 。 用 蜡 或 操作 将 扩张 的 结果 和 一 个 子 密 钥 进行 混合 。16 个 48 位 的 
子 密 钥 一 一 每 个 用 于 一 个 循环 的 变换 。 

(3) S 盒 。 在 与 子 密 钥 混合 之 后 ， 分 组 被 分 成 8 个 6 位 的 块 ， 然 后 使 用 “S 盒 ” 或 
称 “ 置 换 盒 ” 进 行 处 理 。 每 一 个 S 盒 都 使 用 以 查找 表 方 式 提 供 的 非 线 性 的 变换 ， 将 6 个 
输入 位 变 成 4 个 输出 位 。S 盒 提供 了 DES 的 核心 安全 性 一 一 如 果 没 有 S 盒 ， 密 码 会 是 线 
性 的 ， 很 容易 破解 。 

(4) 置换 。 最 后 ，S 盒 的 32 个 输出 位 利用 固定 的 置换 ,“P 置换 ”进行 重组 。 

S 盒 P 团 换 和 王 扩张 实现 了 密码 的 “混淆 和 扩散 ”。 


R132bits 子 密 钥 48bits 
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2-5 下 函数 示意 图 


4. 密 钥 调度 


图 2-6 显示 了 加 密 过 程 中 的 密 钥 调度 一 一 产生 子 密 钥 的 算法 。 首 先 ， 使 用 选择 置换 
1 (PC1) 从 64 位 输入 密 钥 中 选 出 56 位 的 密 钥 ， 剩 下 的 8 位 直接 丢弃 ， 或 作为 奇偶 校 验 
位 。 然 后 ，56 位 分 成 两 个 28 位 的 半 密 钥 ， 每 个 半 密 钥 都 被 分 别处 理 。 在 接 下 来 的 循环 
中 ， 两 个 半 密 钥 都 被 左 移 1 或 2 位 〈 由 循环 数 决定 )， 然 后 通过 选择 置换 2 (PC2) 产生 
48 位 的 子 密 钥 ， 每 个 半 密 钥 24 位 。 移 位 表明 每 个 子 密 钥 中 使 用 了 密 钥 中 不 同 的 位 ， 每 
个 位 大 致 在 16 个 子 密 钥 中 出 现 14 次 。 

解密 过 程 中 ， 除 了 子 密 钥 输出 的 顺序 相反 外 ， 密 钥 调 度 的 过 程 与 加 密 完全 相同 。 

DES 是 一 种 极其 灵活 的 密码 算法 ， 有 多 种 运行 模式 。 然 而 ，DES 也 存在 着 一 个 局 限 
性 ， 在 现 有 的 计算 机 水 平 上 ，56 比特 的 密 钥 长 度 不 能 提供 足够 的 安全 性 能 。 为 了 克服 这 
一 局 限 性 ， 密 码 学 家 研制 开发 了 3DES， 即 对 一 则 消息 进行 3 次 DES 的 迭代 加 密 ， 以 增 
强 安全 特性 。 
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图 2-6 DES 算法 中 子 密 钥 产生 过 程 


会 - 2.2.2 对 称 密码 算法 存在 的 问题 -、 


> 


对 称 密码 算法 运算 量 小 ， 加 密 速 度 快 ， 加 密 效率 高 ， 但 加 密 前 双方 必须 共享 密 钥 这 


-性 质 也 造成 对 称 密码 算法 存在 一 定 的 问题 。 


(1) 用 户 使 用 对 称 加 密 算 法 时 ， 需 要 共享 密 钥 ， 使 得 用 户 所 拥有 的 钥匙 数量 成 几何 


级 数 增长 ， 密 钥 管理 成 为 用 户 的 负担 。 


(2) 用 户 在 通信 之 前 ， 需 要 建立 连接 来 产生 和 获取 密 钥 。 这 对 拥有 庞大 用 户 数 量 的 


网 络 的 通信 空间 提出 了 很 高 的 要 求 。 


(3) 密 钥 不 能 被 及 时 更 换 以 保证 信息 的 保密 性 。 
(4) 消息 的 接收 者 不 能 检查 消息 在 接收 之 前 是 否 经 过 更 改 ， 数 据 的 完整 性 得 不 到 保证 。 
(5) 无 法 保证 接收 到 的 消息 来 自 于 声明 的 发 送 者 ， 因 此 ， 发 送 者 能 够 对 发 送行 为 进 


行 否认 ， 不 可 否认 性 得 不 到 保证 。 


23) 非 对 称 密码 算法 


非 对 称 密码 算法 和 对 称 密码 算法 最 大 的 不 同 在 于 通信 双方 使 用 不 同 的 密 钥 .事实 上 ， 


每 一 个 用 户 都 拥有 自己 的 一 对 密 钥 即 一 个 公 钥 和 一 个 私 钥 。 公 钥 和 私 钥 具 有 数学 上 的 相 


关 忆 
外 ， 


E， 由 其 中 一 个 密 钥 加 密 的 消息 只 能 由 来 自 于 同一 密 钥 对 的 另 一 个 密 钥 进 行 解密 。 另 
由 公 钥 计算 私 钥 在 数学 上 是 不 可 行 的。 通常 ， 公 钥 用 来 加 密 ， 可 以 公开 。 私 钥 用 来 
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解密 ， 由 用 户 自己 保留 。 当 某 个 用 户 想 要 和 对 方 通信 时 ， 就 使 用 对 方 的 公 钥 对 明文 消息 
进行 加 密 ， 然 后 把 得 到 的 密 文 消息 传递 给 对 方 。 对 方 收 到 密 文 之 后 , 用 自己 的 私 钥 解密 ， 
即 可 恢复 出 明文 消息 。 因 此 ， 非 对 称 密码 算法 通常 又 被 称 为 公开 密 钥 密码 算法 。 

除了 用 于 加 密 ， 当 用 户 使 用 自己 的 私 钥 对 消息 进行 加 密 ， 而 使 用 公 钥 解密 时 ， 非 对 
称 密码 算法 还 可 以 实现 签名 的 功能 ， 保 证 了 数据 的 完整 性 。 


9- -253elesRSAE 算 法 = 、 

RSA 是 最 著名 的 公开 密 钥 密码 算法 , 由 麻 省 理工 学 院 的 3 名 计算 机 安全 专家 (Rivest， 
Shamir，Adelman， 如 图 2-7 所 示 ) 于 20 世纪 70 年 代 设计 完成 。RSA 是 目前 最 有 影响 
力 的 公 钥 加 密 算法 ， 它 能 够 抵抗 到 目前 为 止 已 知 的 所 有 密码 攻击 ， 已 被 ISO 推荐 为 公 钥 
数据 加 密 标准 。 此 算法 基于 大 素数 因 式 分 解 的 困难 性 来 产生 公 钥 / 私 钥 对 。 当 用 户 想 要 加 
密 或 解密 消息 时 ， 只 要 对 明文 或 密 文 使 用 适当 的 密 钥 进行 模 运算 ， 就 可 以 得 到 相应 的 密 
文 或 明文 输出 。 


2-7 RSA 算法 发 明 者 (Ron Rivest、Adi Shamirh 和 Len Adleman) 
RSA 密码 体制 如 下 。 
1. 公 钥 和 私 钥 的 产生 


随机 选择 两 个 大 素数 p 和 q，p 不 等 于 q，p 和 q 保密 。 
计算 n-pq，n 公开 。 

计算 欧 拉 函数 Gn)=(p-1)(q-1)，9(n) 保密 。 

随机 选择 整数 e，1<e<< p(n) 上 且 gcd(e，9(n))=1，e 公开 。 
计算 4 满足 : de 二 1 mod Wn))，d 保密 。 

人 ，e) 是 公 钥 ， 人 ，d 中 是 私 钥 。 


2. 加 密 与 解密 过 程 
加 密 变换 .对 于 明文 me Z,， 密 文 为 


c 三 mmodn 


解密 变换 ， 对 于 密 文 cs Z, ， 明 文 为 


m 三 cdmod7 
RSA 算法 的 加 密 解 密 过 程 如 图 2-8 所 示 。 
加 密 | 解密 
' 
字符 串 明文 | 字符 串 明文 
1 
通过 Encoding 指定 | 使 用 加 密 时 
不 同 的 代码 页 ， 把 Encoding 使 用 的 代 
e| 一 字符 串 转 成 不 同 代 | 1 | 码 页 ， 把 byte[] 形 式 一 |e 
码 页 对 应 的 编码 ， | | 的 明文 转换 为 适当 
表现 为 byte[] 形 式 ) 1 
Byte[] ! 
字 节 流明 文 ! 
et 1 
1 
@) 公 角 |《 人 一 
加 密 操作 cer 证 书 


tl a DT i We et a a 

1 

| 

1 

1 

1 

1 

: 

1 

1 

| 

1 

y 
号 罚 
所 闪 


2-8 RSA 加 密 解密 过 程 图 解 


3. RSA 应 用 举例 


Alice 想 要 使 用 RSA 算法 与 Bob 通信 。 首先, Alice 计算 公 钥 / 私 钥 对 。 选 p=11, q=23， 
则 n=pq=253， 内 7) =(p-1)(q-1)=220。 选 加 密 密 钥 e=3， 由 3X147 三 1(mod 220)， 得 解密 
密 钥 d=147。 至 此 ，Alice 的 公 钥 对 是 (253，3)， 私 钥 对 是 (253，147)。Alice 将 公 钥 (253， 
3) 传 递 给 Bob， 自 己 保留 私 钥 (253，147)。 

设 Bob 向 Alice 传递 的 消息 是 “A”，Bob 首先 将 消息 转换 成 ACSII 码 形式 (当然 
也 可 以 选择 其 他 方式 )， 得 m=65。Bob 利用 公 钥 (253，3) 计 算 65 三 120 mod 253， 得 到 
密 文 c=120。 然 后 ，Bob 将 c=120 通过 信道 传递 给 Alice。 

Alice 收 到 密 文 消息 c=120 之 后 ,计算 120'9 三 65 mod 253， 得 到 明文 消息 m=65， 则 
Alice 知道 Bob 发 送 给 自己 的 消息 是 “A”。 


--2.3.2” 非 对 称 密码 算法 存在 的 问题 -， 


dp rn pd 
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定 问 题 。 非 对 称 密码 算法 最 大 的 问题 就 是 速度 问题 。 因 为 在 计算 密 钥 时 ， 需 要 对 大 整数 
进行 军 运 算 。 例如, 像 RSA 这 样 速 度 最 快 的 非 对 称 密码 算法 比 任何 一 种 对 称 密码 算法 都 
要 慢 很 多 。 因 此 ， 在 对 长 消息 进行 加 密 时 ， 非 对 称 密码 算法 的 速度 就 很 难得 到 令 人 满意 
的 结果 。 

另外 , 非 对 称 密码 算法 还 可 能 遭受 中 间 人 攻击 。 中 间 人 攻击 是 一 种 常见 的 攻击 方式 ， 
攻击 者 从 通信 信道 中 截获 数据 包 并 对 其 进行 修改 ， 然 后 再 插 回 信道 中 ， 从 而 将 自己 伪装 
成 合法 的 通信 用 户 。 


2.4) 数字 签名 技术 


数字 签名 可 以 增加 密码 系统 的 完整 性 和 不 可 否认 性 。 只 有 使 用 非 对 称 密码 系统 时 
数字 签名 才 可 能 实现 。 


-AT251 数字 签名 生成 5， 

要 产生 数字 签名 , 首先 要 使 用 一 个 哈 希 函 数 来 产生 明文 消息 的 消息 摘要 (MAC 值 )。 
哈 希 函数 是 一 种 单 向 函数 ， 并 且 能 保证 消息 和 消息 摘要 之 间 一 对 一 的 映射 ， 也 就 是 说 ， 
没有 任何 两 个 不 同 的 消息 能 够 产生 相同 的 哈 希 值 。 

在 FIPS180-2 中 ， 由 美国 国家 标准 技术 研究 所 (NIST) 发 布 了 4 个 政府 认可 的 哈 希 
函数 。 每 个 都 是 安全 哈 希 算 法 (SHA) 的 变种 。 

口 SHA-1 对 任何 输入 长 度 小 于 2” 比特 的 消息 产生 一 个 160 比特 的 摘要 。 

口 SHA-256 对 任何 输入 长 度 小 于 2” 比特 的 消息 产生 一 个 256 比特 的 摘要 。 

口 SHA-384 对 任何 输入 长 度 小 于 2， 比 特 的 消息 产生 一 个 384 比特 的 摘要 。 

口 SHA-S12 对 任何 输入 长 度 小 于 2，” 比 特 的 消息 产生 一 个 512 比特 的 摘要 。 

这 些 算法 最 终 取代 了 SHA 成 为 官方 批准 的 美国 政府 标准 。 

另 一 种 常见 的 哈 希 算法 是 由 Ronald Rivest 设计 的 消息 摘要 (MD) 算法 ， 有 3 种 常 
见 的 MD 算法 。 
口 MD2 对 任意 长 度 的 消息 产生 一 个 128 比特 的 消息 摘要 ， 适 用 于 8 比特 的 处 理 器 。 
口 MD4 对 任意 长 度 的 消息 产生 一 个 128 比特 的 消息 摘要 .但 由 于 MD4 算法 存在 

引起 冲突 的 漏洞 ， 应 该 避免 使 用 。 

口 MDS 对 任意 长 度 的 消息 产生 一 个 128 比特 的 消息 摘要 ,适用 于 32 位 的 处 理 器 

MDS5 检验 互联 网 下 载 的 文件 的 完整 性 ， 防 止 偶然 的 和 蓄意 的 鞭 改 。 

消息 摘要 产生 后 ， 用 户 需 使 用 私 钥 对 其 进行 加 密 从 而 产生 数字 签名 。 之 后 ， 发 送 方 
使 用 和 接收 方 共享 的 密 钥 将 消息 和 数字 签名 加 密 后 一 同 发 送 给 接收 方 ， 从 而 实现 不 可 否 
认 性 和 完整 性 的 保护 。 


-- 2.4.2 ”数字 签名 认证 -， 


和 


密码 系统 收 到 经 过 数字 签名 的 消息 后 ， 可 以 通过 以 下 的 步骤 对 这 个 签名 进行 认证 。 
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首先 解密 消息 ， 提 取出 明文 消息 和 数字 签名 。 然 后 使 用 和 发 送 方 相同 的 哈 希 函 数 对 
明文 消息 进行 计算 ， 得 到 明文 消息 的 消息 摘要 。 同 时 ， 使 用 发 送 方 的 公 钥 解 密 数 字 签 名 。 
最 后 将 发 送 方 计 算出 的 明文 消息 的 消息 摘要 和 由 发 送 方 解 密 出 来 的 消息 摘要 进行 比较 。 
如 果 两 个 摘要 是 一 样 的 ， 则 能 够 认定 消息 在 传递 过 程 中 未 受到 第 三 方 的 更 改 ， 通 信 的 完 
整 性 得 到 了 保护 。 同 时 ， 实 现 了 消息 的 不 可 否认 性 ， 证 明 消 息 确实 来 自 于 发 送 者 〈 得 到 
发 送 者 私 钥 的 某 些 人 )。 数 字 签 名 认证 过 程 如 图 2-9 所 示 。 
Hash 函 数 [一 一 发 送 方 公 铀 


2-9 ”数字 签名 生成 验证 过 程 


如 果 两 个 摘要 不 一 样 ， 则 可 能 是 发 生 了 一 系列 意外 。 这 些 情况 包括 以 下 几 种 。 
(1) 发 送 方 和 接收 方 之 间 发 生 传输 错误 。 

(2) 消息 传输 过 程 中 ， 被 第 三 方 更 改 。 

(3) 消息 是 伪造 的 。 

(4) 通信 的 一 方 不 正确 地 使 用 了 密码 软件 。 


2.5) 数字 证 书 


数字 证 书 是 由 权威 公正 的 第 三 方 机 构 (CA 中 心 ) 签发 的 证 书 ， 它 能 提供 在 因特网 
上 进行 身份 验证 的 一 种 权威 性 电子 文档 ， 人 们 可 以 在 互联 网 交往 中 用 它 来 证 明 自 己 的 身 
份 和 识别 对 方 的 身份 。 在 数字 证 书 认证 的 过 程 中 ,证书 认证 中 心 (CA) 作为 权威 的 、 公 
正 的 、 可 信赖 的 第 三 方 机 构 ， 其 作用 极其 关键 。 

以 数字 证 书 为 核心 的 加 密 技 术 可 以 对 因特网 上 传输 的 信息 进行 加 密 和 解密 、 数 字 签 
名 和 签名 验证 ， 以 确保 网 上 传递 信息 的 机 密 性 、 完 整 性 。 因 此 ， 数 字 证 书 广泛 应 用 于 收 
发 安全 电子 邮件 、 网 上 银行 、 网 上 办 公 、 网 上 交易 、 访 问安 全 站 点 等 安全 电子 事务 处 理 
和 安全 电子 交易 活动 。 即 使 发 送 的 信息 在 网 上 传递 过 程 中 被 他 人 截获 ， 甚 至 丢失 了 个 人 
的 账户 、 密 码 等 信息 ， 仍 可 以 保证 账户 、 资 金 安全 。 

最 简单 的 数字 证 书包 含 一 个 公开 密 钥 、 名 称 以 及 证 书 授权 中 心 的 数字 签名 。 通 常情 
况 下 ， 数 字 证 书 中 还 包括 密 钥 的 有 效 时 间 、 发 证 机 关 ( 证 书 授权 中 心 ) 的 名 称 、 证 书 的 序 
列 号 等 信息 , 证 书 的 格式 遵循 ITUT X.509 国际 标准 。 一 个 标准 的 X.509 数字 证 书包 含 以 
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下 基本 内 容 。 
(1) 证 书 的 版 本 信息 。 
(2) 证 书 的 序列 号 ， 每 个 证 书 都 有 一 个 唯一 的 证 书 序列 号 。 
(3) 证 书 所 使 用 的 签名 算法 。 
(4) 证 书 的 发 行 机 构 名 称 ， 命 名 规则 一 般 采 用 X.500 格式 。 
(5) 证书 的 有 效 期 , 现在 通用 的 证 书 一 般 采 用 UTC 时 间 格 式 , 它 的 计时 范围 为 1950 
—2049。 
(6) 证 书 所 有 人 的 名 称 ， 命 名 规则 一 般 采用 X.500 格式 。 
(7) 证 书 所 有 人 的 公开 密 钥 。 
(8) 证 书 发 行者 对 证 书 的 签名 。 


@” 2.5.1 数字 证 书 的 工作 原理 ， 


数字 证 书 以 加 密 解 密 为 核心 ， 它 采用 公 钥 体制 ， 即 利用 一 对 互相 匹配 的 密 钥 进行 加 
密 、 解 密 。 每 个 用 户 自 己 设 定 一 把 私有 密 钥 〈 私 钥 ， 仅 用 户 本 人 所 知 )， 然 后 用 它 进行 解 
密 和 签名 ， 同 时 ， 用 户 设 定 一 把 公共 密 钥 〈 公 钥 ) 并 由 本 人 公开 ， 为 一 组 用 户 所 共享 ， 
用 于 加 密 和 验证 签名 。 当 发 送 方 准备 发 送 一 份 保密 文件 时 ， 先 使 用 接收 方 的 公 钥 对 数据 
文件 进行 加 密 ， 而 接收 方 则 使 用 自己 的 私 钥 对 接收 到 的 加 密 文 件 进行 解密 ， 这 样 信息 就 
可 以 安全 无 误 地 到 达 目 的 地 了 。 通 过 数字 的 手段 保证 加 密 过 程 是 一 个 不 可 逆 过 程 ， 即 只 
有 用 私有 密 钥 才能 解密 。 在 公开 密 钥 密码 体制 中 ， 比 较 常用 的 是 RSA 体制 。 

公开 密 钥 体制 解决 了 密 钥 发 布 的 管理 问题 : 网 上 商家 可 以 保留 其 私 钥 ， 而 公开 发 布 
其 公 钥 ; 购物 者 可 以 用 公开 发 布 的 公 钥 对 发 送 的 信息 进行 加 密 ,安全 地 传送 给 网 上 商家 ， 
然后 由 商家 用 自己 的 私 钥 对 其 进行 解密 。 

用 户 也 可 以 运用 自己 的 私 钥 对 信息 进行 处 理 ， 由 于 密 钥 仅 为 用 户 本 人 所 有 ， 所 以 就 
产生 了 其 他 人 无 法 生成 的 独 一 的 文件 ， 也 就 所 谓 的 数字 签名 。 采 用 数字 签名 ， 能 够 保证 
以 下 两 点 。 

(1) 保证 信息 是 由 签名 者 签名 发 送 的 ， 签 名 者 不 能 予以 否认 或 难以 否认 。 

(2) 保证 信息 自 签发 后 到 收 到 为 止 未 曾 作 过 任何 修改 ， 签 发 的 文件 是 真实 文件 。 

数字 证 书 里 存 有 很 多 数字 和 英文 ， 当 使 用 数字 证 书 进行 身份 认证 时 ， 它 将 随机 生成 
128 位 的 身份 码 〈 每 份 数 字 证 书 都 能 生成 相应 的 身份 码 ， 且 每 次 都 不 可 能 相同 的 )， 相 当 
于 生成 一 个 复杂 的 密码 ， 从 而 保证 数据 传输 的 保密 性 。 其 工作 原理 如 图 2-10 所 示 。 

数字 证 书 一 个 最 主要 好 处 是 在 认证 用 户 身份 时 ， 用 户 的 敏感 个 人 资料 并 不 会 传输 至 
索取 资料 者 的 计算 机 系统 上 。 通 常 ， 当 索取 资料 者 取得 用 户 的 数字 证 书 资料 后 ， 会 即时 
递交 至 数字 核 证 机 关 的 系统 中 进行 验证 。 当 用 户 身份 经 确认 后 ， 核 证 机 关 会 将 已 经 确认 
的 信息 转交 至 索取 资料 者 ， 在 此 期 间 ， 除 用 户 同意 并 主动 给 出 的 个 人 资料 以 外 ， 其 他 资 
料 均 不 会 自动 传递 至 索取 资料 者 。 透 过 这 种 资料 交换 模式 ， 用 户 既 可 证 实 自己 的 身份 ， 
亦 不 用 过 度 披露 个 人 资料 ， 对 保障 计算 机 服务 存 取 双 方 皆 有 好 处 。 
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图 2-10 ”数字 证 书 工作 原理 


@-- 2.5.2 ”数字 证 书 的 颁发 机 制 -、 


1. 颁发 过 程 


数字 证 书 颁发 过 程 一 般 为 : 用 户 首先 产生 自己 的 密 钥 对 ， 并 将 公 钥 及 部 分 个 人 身份 
信息 传送 给 认证 中 心 。 认 证 中 心 在 核实 身份 后 ， 将 执行 一 些 必 要 的 步骤 ， 以 确信 请 求 确 
实 由 用 户 发 送 而 来 ， 然 后 ， 认 证 中 心 将 发 给 用 户 一 个 数字 证 书 ， 该 证 书 内 包含 用 户 的 个 
人 信息 和 公 钥 信息 ， 同 时 还 附 有 认证 中 心 的 签名 信息 。 用 户 就 可 以 使 用 自己 的 数字 证 书 
进行 相关 的 各 种 活动 。 数 字 证 书 由 独立 的 证 书 发 行 机 构 发 布 。 数 字 证 书 各 不 相同 ， 每 种 
证 书 可 提供 不 同 级 别 的 可 信和 度 。 可 以 从 证 书 发 行 机 构 获 得 数字 证 书 。 

2. 授权 机 构 


用 户 和 服务 器 发 布 数字 证 书 时 ， 需 要 选择 可 信 的 第 三 方 CA (Certificate Authority)， 
并 遵循 一 定 的 程序 。CA 中 心 ， 即 证 书 授 证 中 心 ， 作 为 受信 任 的 第 三 方 ， 承 担 公 钥 体 系 
中 公 钥 的 合法 性 验证 的 责任 。CA 中 心 依据 X.509 标准 为 每 个 使 用 公 钥 的 用 户 发 放 一 个 
数字 证 书 ， 证 书包 含 X.509 版 本 号 、 证 书 序列 号 、 数 字 签 名 的 生成 算法 、 证 书 所 有 者 姓 
名 、 证 书 所 有 者 公 钥 、 颁 发 者 姓名 〈CA)、 证 书生 效 时 间 、 证 书 过 期 时 间 等 信息 。 最 后 ， 
CA 使 用 自己 的 私 钥 对 以 上 信息 进行 签名 ， 产 生 用 户 的 数字 证 书 。 数 字 证 书 的 作用 是 证 
明证 书 中 列 出 的 用 户 合法 拥有 证 书 中 列 出 的 公开 密 钥 。CA 中 心 的 数字 签名 使 得 攻击 者 
不 能 伪造 和 算 改 证 书 。CA 中 心 负责 产生 、 分 配 并 管理 所 有 参与 网 上 交易 的 个 体 所 需 的 
数字 证 书 ， 因 此 是 安全 网 上 交易 的 核心 过 程 。 数 字 证 书 授权 机 构 如 图 2-11 所 示 。 

为 保证 用 户 之 间 在 网 上 传递 信息 的 安全 性 、 真 实 性 、 可 靠 性 、 完 整 性 和 不 可 抵赖 性 ， 
不 仅 需要 对 用 户 的 身份 真实 性 进行 验证 ， 还 需要 有 一 个 具有 权威 性 、 公 正 性 、 唯 一 性 的 
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机 构 ， 负 责 向 电子 商务 的 各 个 主体 颁发 并 管理 符合 国 


内 、 国 际 安全 电子 交易 协议 标准 的 电子 商务 安全 证 书 。 A 
根据 各 种 不 同情 况 ， 数字 证 书 可 能 是 CA 给 用 户 颁 

发 的 ， 或 者 是 用 户主 动 申请 的 。 目 前 比较 常见 的 国际 权 SE 

成 的 数字 证 书 颁发 认证 机 构 有 VeriSign、GeoTrust 等 。 


在 中 国 , 每 个 省 、 直 辖 市 设置 有 国家 权威 的 数字 证 书 颁 
发 机 构 ， 比 如 北京 市 数字 证 书 认证 中 心 等 。 但 是 这 种 数 【用 证 | [| 
字 证 书 一 般 都 是 收取 用 户 昂贵 的 申请 和 维护 费用 的 , 所 
以 也 有 免费 的 数字 证 书 颁发 国际 组 织 ,比如 CAcert。 随 
着 用 户 群 的 增 大 和 颁发 手段 的 可 信 性 ， 这 种 免费 的 数字 证 书 可 信 度 也 越 来 越 高 。 

在 获得 数字 证 书后 , 可 以 将 其 可 保存 在 电脑 里 ,也 可 以 保存 在 IC 卡 或 USB Key 中 。 


2-11 数字 证 书 授权 机 构 


根据 数字 证 书 的 应 用 分 类 ， 数 字 证 书 可 以 分 为 电子 邮件 证 书 、 服 务 器 证 书 和 客户 端 
个 人 证 书 。 


1， 电 子 邮 件 证 书 


电子 邮件 证 书 的 作用 是 证 明 邮 件 发 件 人 的 真实 性 ， 但 是 ， 它 并 不 证 明 数 字 证 书 所 有 
者 姓名 (由 证 书 上 面 CN 一 项 所 标识 ) 的 真实 性 ， 而 只 能 证 明 邮 件 地 址 的 真实 性 。 

当 收 到 具有 有 效 数 字 签 名 的 电子 邮件 时 ， 收 件 者 除了 能 相信 该 电子 邮件 确实 由 某 个 
指定 的 邮箱 发 出 以 外 ， 还 可 以 确信 该 邮件 从 发 出 到 接收 者 接收 的 过 程 中 没有 被 第 三 方 算 
改过 。 此 外 ,运用 接收 的 邮件 证 书 ， 还 可 以 向 接收 方 发 送 加 密 邮件 ， 使 得 该 加 密 邮件 可 
以 在 非 安全 的 网 络 中 传输 ， 而 只有 接收 方 的 证 书 持 有 者 才 可 能 打开 该 电子 邮件 。 


2. 服务 器 证 书 ‘SSL 证 书 ) 


服务 器 证 书 被 安装 在 服务 器 设备 上 ， 其 作用 是 证 明 服 务 器 的 身份 和 进行 通信 加 密 。 

在 服务 器 上 安装 服务 器 证 书后 ， 客 户 端 浏览 器 可 以 与 服务 器 证 书 建立 SSL 连接 ( 建 
立 一 条 SSL 安全 通道 )， 在 SSL 连接 上 传输 的 任何 数据 都 会 被 加 密 ， 可 以 防止 数据 信息 
的 泄露 。 同 时 ， 浏 览 器 会 自动 验证 服务 器 证 书 是 否 有 效 ， 验 证 所 访问 的 站 点 是 否 是 假冒 
站 点 (因此 ， 服 务 器 证 书 也 可 以 用 来 防止 钓鱼 站 点 的 欺骗 )， 服 务 器 证 书 保护 的 站 点 多 被 
用 来 进行 密码 登录 、 订 单 处 理 、 网 上 银行 交易 等 。 目 前 ， 全 球 知名 的 服务 器 证 书 品牌 主 
要 有 Verisign、Globlesign、Thawte 和 Geotrust 等 。 

SSL 证 书 主要 用 于 服务 器 (应 用 ) 的 数据 传输 链 路 加 密 和 身份 认证 ， 绑 定 网 站 域名 ， 
不 同 的 产品 对 于 不 同 价值 的 数据 和 要 求 不 同 的 身份 认证 。 最 新 的 高 端 SSL 证 书 产品 是 
Extended Validation SSL Certificates， 即 扩展 验证 (EV) SSL 证书。 在 下 7.0、FireFox3.0、 
Opera 9.5 等 新 一 代 高 安全 浏览 器 下 ， 使 用 扩展 验证 VeriSign (EV) SSL 证 书 的 网 站 的 浏 
览 器 地 址 栏 会 自动 呈现 绿色 ， 从 而 清晰 地 告诉 用 户 正在 访问 的 网 站 是 经 过 严格 认证 的 ， 
从 而 最 大 限度 地 保护 用 户 上 网 安全 ， 不 给 钓鱼 网 站 可 乘 之 机 。 


密码 技术 


3. 客户 端 个 人 证 书 


客户 端 证 书 的 作用 主要 是 用 来 进行 身份 验证 和 数字 签名 。 

安全 的 客户 端 证 书 一 般 存 储 于 专用 的 USB key 中 ， 且 存储 于 key 中 的 证 书 不 能 被 导 
出 或 复制 ， 在 使 用 时 则 需要 输入 key 的 保护 密码 。 使 用 该 客户 端 证 书 时 不 仅 需要 物理 上 
获得 其 存储 介质 USB key， 而 且 还 需要 知道 key 的 保护 密码 ， 因 此 ， 这 也 被 称 为 双 因子 
认证 。 到 目前 为 止 ， 这 种 认证 手段 是 因特网 上 最 安全 的 身份 认证 手段 之 一 。key 的 种 类 
较 多 , 常见 的 有 普通 USB key、 指 纹 识别 、 语音 报 读 、 第 三 键 确认 、 带 显示 屏 的 专用 USB 
key 等 。 

从 广义 上 来 说 ， 目 前 的 数字 证 书 也 可 分 为 个 人 数字 证 书 、 单 位 数字 证 书 、 单 位 员工 
数字 证 书 、 服 务 器 证 书 、 表 单 签名 证 书 、 代 码 签名 证 书 、WAP 证 书 和 VPN 证 书 等 。 


2.6) 信息 隐藏 技术 


随 着 互联 网 的 迅速 发 展 ， 网 络 服务 形式 越 来 越 丰富 ， 人 们 可 以 通过 互联 网 发 布 自己 
的 作品 、 重 要 信息 等 ， 同 时 随 之 而 来 的 侵权 问题 也 十 分 严重 。 如 何在 充分 利用 互联 网 的 
同时 有 效 地 保护 知识 产权 已 受到 高 度 重视 。 信 息 隐藏 技术 作为 网 络 安全 技术 的 重要 新 兴 
课题 ， 在 现代 网 络 环境 中 保护 信息 安全 起 到 了 重要 的 作用 。 信 息 隐藏 通过 将 信息 隐藏 到 
特定 的 载体 中 达到 不 可 见 的 效果 ， 来 实现 信息 的 保密 传播 。 信 息 隐 藏 的 应 用 非常 广泛 ， 
包括 信息 隐 写 、 数 字 水 印 等 。 


他 -52:6:1 信息 隐藏 一 、 
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信息 隐藏 技术 是 利用 载体 信息 的 元 余 性 ， 将 秘密 信息 隐藏 于 普通 信息 中 ， 使 其 对 非 
授权 者 不 可 见 ， 从 而 安全 地 传输 信息 的 技术 。 信 息 隐藏 技术 能 够 获得 更 大 的 隐蔽 性 和 安 
全 性 。 事 实 上 ， 信 息 隐 藏 的 历史 非常 悠久 。 在 古 希腊 战争 中 ， 为 了 安全 传递 情报 ， 奴 隶 
主将 奴隶 的 头发 剃 光 然后 情报 信息 刻 在 奴隶 的 头皮 上 ， 等 奴隶 的 头发 长 出 来 后 ， 再 派 他 
去 传递 情报 。 这 体现 的 就 是 信息 隐藏 的 思想 。 

图 2-12 给 出 了 信息 隐藏 的 过 程 。 在 发 送 方 ， 利 用 信息 隐藏 算法 ， 将 秘密 消息 m 隐 
藏 到 载体 对 象 C 当中 ， 得 到 伪装 对 象 C， 然 后 在 不 安全 的 信道 中 传输 C'。 在 接收 方 ， 利 
用 消息 提取 算法 ， 从 伪装 对 象 C 中 提取 出 秘密 消息 m。 在 整个 传输 过 程 中 ， 秘 密 消息 mm 
对 攻击 者 是 不 可 见 的 。 

载体 对 象 C 密 钥 K 


信息 提取 算法 秘密 消息 m 
2-12 信息 隐藏 原理 图 


如 图 2-13 所 示 : 将 一 段 文 本 信息 嵌入 到 一 张 PEG 格式 图 片 中 。 其 中 ， 文 本 信息 就 
是 秘密 消息 ， 而 JPEG 图 像 即 为 载体 对 象 。 在 不 使 用 工具 进行 分 析 时 ， 载 体 对 象 和 伪装 


秘密 消息 m 信息 能 入 算法 
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对 象 在 人 们 的 视觉 中 并 没有 区 别 。 伪 装 对 象 在 信道 中 进行 传输 ， 在 传输 的 过 程 中 ， 有 可 
能 会 遭 到 攻击 者 的 攻击 。 提 取 过 程 则 是 在 提取 密 钥 的 参与 下 从 所 接收 到 的 伪装 对 象 中 提 
取出 秘密 消息 ， 如 将 上 述 文本 信息 从 JPEG 图 像 中 提取 出 来 。 


载体 对 象 信息 嵌入 过 程 


1010111110 
0 


1100011010 
1 


秘密 消息 


2-13 ”把 信息 隐藏 在 图 片 中 


@ - 52:62 二 数字 水 印 =-、 
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数字 水 印 技术 是 信息 隐藏 技术 的 一 个 重要 分 支 。 由 于 数字 作品 具有 无 失真 传播 复制 
及 易 修 改 、 易 发 表 的 特点 ， 数 字 作 品 的 侵权 问题 日 益 严 重 。 而 数字 水 印 〈Digital 
Watermarking) 技术 的 发 展 在 一 定 程度 上 解决 了 这 个 问题 。 数 字 水 印 将 一 些 标识 信息 〈 即 
数字 水 印 ) 嵌入 数字 载体 当中 〈 包 括 多 媒体 、 文 
档 、 软 件 等 ) 达到 确认 内 容 创 建 者 、 购 买 者 、 传 
送 隐秘 信息 或 者 判断 载体 是 否 被 自 改 等 目的 。 但 
是 ， 数 字 水 印 并 不 影响 原 载体 的 使 用 价值 ， 也 不 
容易 被 探知 和 再 次 修改 。 图 2-14 给 出 了 浮现 式 数 
字 水 印 的 实例 ， 图 片 中 心 显 示 “ 了 Brian Kell 2006” 
的 字样 。 


1. 数字 水 印 的 特点 


作为 数字 水 印 技术 基本 上 具有 下 面 儿 个 方 
面 的 特点 。 

口 安全 性 数字 水 印 的 信息 应 是 安全 的 ， 

难以 纂 改 或 伪造 ， 同 时 ， 应 当 有 较 低 的 

误 检测 率 ， 当 原 内 容 发 生变 化 时 ， 数 字 图 2-14 数字 水 印 实例 


水 印 应 当 发 生变 化 ， 从 而 可 以 检测 原始 数据 的 变更 ; 当然 数字 水 印 同样 对 重复 
添加 有 很 强 的 抵抗 性 。 


口 隐蔽 性 数字 水 印 应 是 不 可 知觉 的 ， 而 且 应 不 影响 被 保护 数据 的 正常 使 用 ， 不 
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会 降 质 。 

口 鲁 棒 性 是 指 在 经 历 多 种 无 意 或 有 意 的 信号 处 理 过程 后 ， 数 字 水 印 仍 能 保持 部 
分 完整 性 并 能 被 准确 鉴别 。 主 要 用 于 版 权 保 护 的 数字 水 印 易 损 水 印 (Fragile 
Watermarking )， 和 完整 性 保护 ， 这 种 水 印 同 样 是 在 内 容 数 据 中 嵌入 不 可 见 的 信 
息 。 当 内 容 发 生 改 变 时 ， 这 些 水 印信 息 会 发 生 相应 的 改变 ， 从 而 可 以 鉴定 原始 
数据 是 否 被 纂 改 。 

口 水 印 容量 是 指 载体 在 不 发 生 形 交 的 前 提 下 可 嵌入 的 水 印信 息 量 。 


2. 数字 水 印 算法 


一 般 而 言 ， 图 像 水 印 技术 是 通过 更 改 图 像 中 的 数据 来 嵌入 水 印 ， 其 算法 上 有 两 个 主 
要 的 领域 。 

(1) 空间 域 〈 时 间 域 ) 法 

早期 的 图 像 水 印 研究 主要 是 发 展 在 空间 域 中 ， 以 灰 度 图 像 而 言 ， 每 个 取样 点 (Pixel) 
一 般 是 以 8 个 位 来 表示 ， 且 由 最 高 有 效 位 (MSB ) 开始 向 右 排列 至 最 低 有 效 位 (LSB )， 
表示 数据 位 的 重要 性 次 序 , 因此 可 通过 更 改 每 个 取样 点 中 敏感 度 最 低 的 LSB 来 嵌入 水 印 
信息 ， 使 得 水 印 具 有 较 高 的 隐 密 性 ， 这 是 信息 隐藏 技术 中 最 常 被 用 来 藏 入 信息 的 一 个 既 
简单 又 容易 实现 的 方法 。 但 其 缺点 是 容易 被 攻击 者 破坏 ， 且 难以 抵抗 噪声 、 压 缩 处 理 、 
图 像 处 理 以 及 前 切 处 理 等 各 种 攻击 。 

(2) 变换 域 法 

在 频 域 中 的 水 印 主要 是 原始 图 像 转换 到 频 域 里 ， 再 加 入 水 印 数据 ， 将 水 印 嵌 入 至 不 
同 频率 成 份 信号 可 满足 不 同 需求 ， 当 媒 入 至 高 频 信号 ， 比 较 不 容易 被 人 眼 视觉 系统 所 察 
觉 ， 嵌 入 至 低频 成 份 信号 ， 由 于 能 量 较 高 因而 不 容易 被 破坏 。 变 换 域 法 主要 有 以 下 两 种 
常见 方法 。 

第 一 种 是 离散 余弦 转换 域 法 。 离 散 余弦 转换 是 静态 图 像 压缩 技术 (如 JPEG) 以 及 动 
态 视频 压缩 技术 〈 如 MPEG) 中 的 主要 核心 ， 而 从 图 像 以 8*8 的 像素 区 块 为 单位 来 做 离 
散 余弦 转换 ， 转 换 后 仍然 以 8*8 的 区 块 大 小 来 表示 频率 信息 ， 其 目的 主要 是 将 区 块 中 各 
个 像素 的 关系 性 打 散 ， 使 得 大 部 分 的 能 量 可 以 集中 在 少数 几 个 基底 函数 上 。 

第 二 种 是 小 波 域 法 。 离 散 小 波 转换 也 是 一 种 可 将 图 像 的 空间 域 信息 转换 为 频率 域 信 
息 的 技术 ， 其 优点 除了 可 以 有 效 地 将 图 像 中 各 个 像素 的 关系 性 打 散 之 外 ， 还 提供 了 多 重 
分 辩 率 与 多 频率 的 特性 ， 使 得 在 处 理 声音 、 图 像 以 及 视频 等 信息 时 的 弹性 较 大 ， 因 此 近 
来 被 广泛 地 应 用 在 图 像 处 理 、 数 据 压 缩 以 及 信息 隐藏 等 研究 领域 。 而 离散 小 波 转换 则 
可 通过 相对 应 的 滤波 器 而 分 别 作用 在 图 像 信息 中 的 列 与 行 来 实现 。 


@ - 2.6.3 ”数字 隐 写 -、 


/ 


I 


信息 隐藏 的 另 一 个 重要 分 支 就 是 数字 隐 写 。 隐 写 就 是 将 秘密 信息 隐藏 到 看 上 去 普通 
的 信息 《如 数字 图 像 )》 中 进行 传送 ， 以 达到 保密 传送 信息 的 目的 。 

数字 隐 写 和 数字 水 印 有 一 定 的 联系 又 有 一 定 的 区 别 。 二 者 都 是 将 一 个 文件 隐 写 至 另 
一 个 文件 中 ， 但 使 用 目的 与 处 理 算 法 不 同 。 隐 写 侧重 将 秘密 文件 隐藏 ， 而 水 印 则 较 重 视 
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著作 权 的 声明 与 维护 ， 防 止 多 媒体 作品 被 非法 复制 等 。 隐 写 一 旦 被 识破 ， 则 秘密 文件 十 
分 容易 被 读 取 ， 相 反 ， 水 印 并 不 侧重 隐 写 文件 的 隐蔽 性 ， 而 更 在 乎 增加 鲁 棒 性 。 

有 很 多 不 同 的 信息 隐 写 方法 ， 其 中 大 部 分 可 看 作 是 替换 系统 。 这 些 方法 尽量 把 信和 号 
的 元 余部 分 替换 成 秘密 信息 。 根 据 对 载体 文件 的 修改 方式 ， 可 以 把 信息 隐藏 方法 分 为 以 
下 几 类 。 

口 替换 系统 ”用 秘密 信息 替代 载体 文件 的 元 余部 分 。 

口 变换 域 技术 在 信号 的 变换 域 谋 入 秘密 信息 。 

口 扩展 频谱 技术 采用 扩 频 通信 的 思想 进行 信息 隐藏 。 

口 统计 方法 ”通过 更 改 载体 文件 的 若干 统计 特性 来 对 信息 进行 编码 ， 并 在 提取 过 

程 中 采用 假设 检验 的 方法 。 

口 失真 技术 通过 信号 失真 来 保存 信息 ， 在 解码 时 测量 与 原始 载体 的 偏差 。 

载体 文件 相对 隐秘 文件 的 大 小 〈 指 数据 含量 ， 以 比特 计 ) 越 大 ， 隐 藏 后 者 就 越 加 容 
易 。 因 为 这 个 原因 ， 数 字 图 像 〈 包 含有 大 量 的 数据 ) 在 因特网 和 其 他 传媒 上 被 广泛 用 于 


2.7) 邮件 加 密 软件 PGP 


PGP 是 基于 RSA 公 钥 加 密 体系 的 邮件 加 密 软 件 ， 使 用 RSA 和 传统 对 称 加 密 算法 的 
杂 合算 法 ， 可 以 对 邮件 加 密 ， 还 可 以 对 邮件 进行 数字 签名 使 收 信人 确信 邮件 的 发 送 者 。 
PGP 使 用 了 审慎 的 密 钥 管理 手段 ， 使 得 用 户 事先 不 需要 任何 保密 的 渠道 来 传递 密 钥 ， 就 
可 以 进行 安全 通信 了 。 

除了 邮件 加 密 与 身份 确认 功能 之 外 ，PGP 的 功能 还 包括 : 资料 公 钥 和 私 钥 加 密 ， 硬 
盘 及 移动 盘 全 盘 密 码 保护 ， 网 络 共享 资 料 加 密 ，PGP 自 解 压 文档 创建 ， 资 料 安全 擦 除 等 
众多 功能 。 

PGP 开发 之 初 是 免费 的 ， 现 在 用 于 商业 用 途 的 高 级 版 本 是 需要 收费 的 。PGP 6.5 版 
是 免费 版 ， 在 www.pgp.com 上 就 可 以 下 载 。 


@-- 2.7.1 PGP 加 密 原理 -、 

邮件 加 密 软 件 PGP 充分 利用 了 对 称 密码 速度 快 和 非 对 称 密码 安全 性 高 的 优势 , 对 邮 
件 进 行 加 密 时 ， 同 时 使 用 了 RSA 算法 和 IDEA 算法 〈 注 : IDEA 是 一 种 对 称 密码 算法 )。 
每 次 加 密 邮 件 时 ，PGP 随机 生成 一 个 用 于 加 密 邮 件 内 容 的 IDEA 密 钥 ， 然 后 用 RSA 公 钥 
对 该 密 钥 加 密 。 这 样 收 件 人 收 到 邮件 之 后 ， 先 用 RSA 密 钥 解密 出 这 个 随机 密 钥 ， 再 用 
IDEA 解密 邮件 本 身 。 这 样 的 加 密 就 做 到 了 既 有 RSA 体系 的 保密 性 ， 又 有 IDEA 算法 的 
快捷 性 。PGP 加 密 原 理 如 图 2-15 所 示 。 


@- -27:2 一 PGP: 安 装 = 、 


PGP 安装 只 需 按 提示 完成 即 可 。 在 图 2-16 中 可 以 选择 要 安装 的 组 件 ， 选 择 PGP 


Microsoft Outlook Express Plugin 复 选 框 , 就 可 以 在 Outlook Express 中 直接 用 PGP 加 密 邮 
件 对 邮件 进行 签名 。 
甲 八 5 
IDEA 密 钥 用 的 公 铀 加密 :| 被 达 的 IDEA 达 明 
二 inar 作 
邮件 密 文 
1 
件 密 文 被 加 密 的 IDEA 密 钥 
可 传输 
四 | P 件 密 广 被 加 密 的 IDEA 密 角 
了 | 用 乙 的 私 钥 解 密 
邮件 密 文 解密 邮件 IDEA 密 钥 
了 
邮件 原文 


4 


Freeware 


2-15 了 PGP 加 密 原理 图 


Select the components you want to install, clear the components 
you do not want to install, 


Components 


门 PGP Qualcomm Eudora Plugin 

问 PGP Microsoft Exchange/Outlook Plugin 
PGP Microsoft Dutook Express Plugin 
问 PGP Command Line 


0K 
128K 
124K 
948K 


Description 
This component includes the core PGP Key 
Management files. me | 


10763K 
577936K 


Space Required: 
Space Avallable: 


Cancel 


<Back | Nex> | 


图 2-16 PGP 安装 示意 图 


单 击 图 标 或 者 Keys 一 New Key 命令 开始 生成 密 钥 。PGP 有 一 个 很 好 的 密 钥 生 成 向 
导 ， 只 要 按照 提示 步骤 操作 即 可 。 


(在 安装 软件 时 ， 同 样 会 提示 是 否 生 成 密 钥 .) 
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-9 PGPkeys 
File Edit View Key 


EPE 


Description 全 | 
] 204871024 DH/DSS publi 
409671024 DHDSS publi 
一 2048/1024 DH/DSS publi 
1 307271024 DH/DSS publi 
2059/1024 DH/DSS publi 
2048/1024 DN/DSS publi 
2048/1024 ”IDHADSS publi 
] 2048/1024 DH/DSS publi 
2048/1024 DH/TSS publi 局 


困 @ Ann Campi 《acanpiBnai. com> 

Om Bill Blanke wjb@pep. com> 

困 @ Chanda Groom Cchanda_eroomBnai... 
困 @ Danon Gallaty 《dgal@pep. con> 

困 @ Jason Bobier jasonlpep. com> 
Om Katherine Nassucci Pettit Clmp... 
困 @ Narc Dyksterhouse ‘narcdBpep. com> 
Om Nark J. NeArdle narlmBpep. com> 
困 @ Michael K Jones 人 jonesBnai com> 


上 人 ma Wl 


O000O00 | 


图 2-17 PGP 生成 密 钥 示意 图 


PGP 同时 生成 了 一 对 密 钥 , 其 中 一 个 是 公 钥 ,可 以 分 发 给 其 他 用 户 , 用 于 加 密 文 件 ， 
另 一 个 是 私 钥 ， 由 用 户 自己 保存 ， 用 于 解密 加 密 文件 。 

第 一 步 ，PGP 提示 这 个 向 导 的 目的 是 生成 一 对 密 钥 ， 可 以 用 它 来 加 密 文件 或 对 数字 
文件 进行 签名 。 单 击 next 按钮 即 可 。 
第 二 步 ， 输 入 全 名 和 邮件 地 址 ， 如 图 2-18 所 示 。 


Key Generation Wizard 
What name and email address should be associated with this key 
pai? 


By listing your name and email address here, you let your 
correspondents know that the key they are using belongs to you. 


《< 上 一 步 @) | 下 一 步 轨 > 取消 帮助 


图 2-18 输入 用 户 名 和 邮件 地 址 


第 三 步 ， 选 择 加 密 类 型 ， 如 图 2-19 所 示 。PGP 5.0 以 前 的 版 本 多 用 RSA 加 密 方式 ， 
5.0 以 后 多 选用 Diffie-Hellman/DSS 。 

第 四 步 ， 指 定 密 钥 长 度 。 通 常 来 说 密 钥 位 数 越 大 被 解密 的 可 能 性 越 小 ， 就 越 安 全 ， 
但 是 在 执行 解密 和 加 密 时 会 需要 更 多 的 时 间 ， 所 以 一 般 选 择 2048 位 即 可 。 

第 五 步 ， PGP 询问 密 钥 的 过 期 日 期 ， 可 以 选择 从 不 过 期 或 指定 一 个 日 期 作为 过 期 的 
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界限 。 


Key Generation Wizard 


What type of key would you lke to generate? If you dont know, 
t's recommended that you generate a Diffie-Helman/DSS key 
pair. 


RSA is the "old-style" PGP key. Most new users of PGP will be 
expecting a Diffie-Hellman/DSS key. 


Ifyou'd like more information on the differences between the two 
key types, press the Help button, below. 


Key Pair Type 
人 Diffie-Helman/DSS 
Cm BSA 


《上 一 步 @)| 下 一 步 吕 > 取消 帮助 


图 2-19 ”选择 加 密 类 型 


第 六 步 ， 设 置 口令 ， 如 图 2-20 所 示 。 这 个 口令 用 于 私 钥 的 保密 ， 提 供 了 更 强 的 安全 
性 。 建 议 设置 的 口令 大 于 8 位 ， 并 且 最 好 包括 大 小 写 、 空 格 、 数 字 、 标 点 符号 等 。 另 外 ， 
PGP 支持 中 文 作为 口令 。 边 上 的 Hide Typing 复 选 框 指示 是 否 显示 输入 的 口令 值 。 

Key Generation Wizard 加 | 
leo ot ar ltis important 
that you do not write this passphrase 


se | 
contain nor-alphabetic char: 


Passphrase: 厂 Hide Typing 


test123456 


Passphrase Qualty : TTT 


《上 一 步 @) | 下 一 步 叫 > 取消 帮助 


2-20 设置 口令 


第 七 步 , PGP 花费 一 些 时 间 生 成 密 钥 ， 如 图 2-21 所 示 ， 然 后 询问 是 否 想 把 生成 的 公 
共 密 钥 发 送 到 服务 器 上 去 。 这 个 服务 器 是 PGP 公司 提供 的 一 个 免费 密 钥 服务 器 ， 用 来 进 
行 方便 的 公 钥 验证 /发 布 /自动 搜索 加 密 等 功能 .例如 某 个 用 户 的 公 钥 已 经 上 传 到 了 该 服务 
器 ， 那 么 给 这 个 用 户 发 送 加 密 邮 件 时 ， 便 不 需要 要 求 对 方 单独 发 一 次 密 钥 来 导入 ，PGP 
内 置 功能 会 自动 连接 并 完成 对 应 信箱 公 钥 的 下 载 /验证 /签名 的 操作 ， 减 少 人 工 干预 次 数 ， 
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提高 易 用 性 。 不 过 ， 为 了 更 加 安全 ， 并 不 建议 把 密 钥 上 传 到 服务 器 上 。 


LS 


If you have an Internet connection, we suggest that you send 
your new public key to the server. 


This will make it easy for your comespondents to get your key and 


Ifyou dont have an Intemet connection or 
right now. leave” ee 
You can send your key later from within PGPkeys. 


三 Send my key to the root server now 


上 一 步 @) | 下 一 步 1D >| 取消 帮助 
2-21 PGP 生成 密 钥 


第 八 步 ， 密 钥 生 成 结束 。 可 以 看 到 用 户 刚 生成 的 密 钥 被 加 入 到 了 密 钥 链表 里 面 ， 如 
图 2-22 所 示 。 


< PGPkeys 
File Edit Yiev EKe: Groups kelp 
加 关 驹 导 a m 各 | [| 
EE Description a 

HP Scott J. Milson Cswilsonfnai. com> @ 2048/1024 DH/DSS publi 

Tm Sean Tran Gean_tranBnai con> -一 3072/1024 DH/DSS publi 
Pm Sonny D. Luu 《sluuBnai con> Co 2048/1024 DDSS publi 
日 星 test CtestP6P. 126. con> a 2048/1024 = DI/DSS key p 

日 test 《testPGP. 126. com> Vser ID 


,test testPGP. 1286. com> DSS exportab: 
Tm Vue YL Yang Crvanelnai, com》 CC 4098/1024 DWDSS publi 
Tm Will Price Crpricelpep. con> CH 4000/1024 DWDSs publi 


< 


1 key(s) selected | 区 


图 2-22 ”PGP 密 钥 生 成 结束 


- 有 2 了 4 一 PGPs 加 解密 写 -， 

对 文件 加 密 非 常 简单 ， 只 需 选 中 需要 加 密 的 文件 ， 然 后 右 击 ， 在 弹出 的 快捷 菜单 中 
选择 PGP 一 Encrypt 命令 。 之后， 会 弹出 一 个 对 话 框 ， 选 择 要 用 来 进行 加 密 的 密 钥 ， 然 后 
双击 使 它 加 到 下 面 的 Recipients 列表 框 中 即 可 ,如 图 2-23 所 示 。 单 击 OK 按钮 进行 加 密 ， 
就 得 到 扩展 名 为 “.pgp” 的 加 密 文件 。 

解密 时 双击 扩展 名 为 “.pgp” 的 文件 或 选中 文件 并 右 击 ， 在 弹出 的 快捷 菜单 中 选择 
PGP 一 Decrypt 命令 ， 在 图 2-24 中 的 下 面 的 文本 框 中 输入 口令 即 可 。 


ey Selection Dialog 


E 


:|O0000000e©| 


Drag users from this list to the Recipients list 
Sean Tran 人 Gean_tranBnai con> 
Sonny D. Luu CsluuBhurricanes. contekconsys. con> 
Sonny D. Luu 《slunBjps net> 


Will Price Crprice@pep. con> 


Recipients 
test <testPGP. 126. com> 


厂 Text Output 
Wipe original 
厂 Conventional Encryption 
厂 Self Decrypting Archive 


日 


有 
由 
国 


: 
| 


2-23 了 PGP 加 密 示意 图 
PGePshell Enter Passphrase 


Message was encrypted to the following public keyfs] : 
test <testPGP.126.com> [DH/2048) 


Enter passphrase for your private key : 厂 Hide Typing 


OK | Cancel 


2-24 PGP 解密 示意 图 


如 果 要 在 Outlook Express 或 Outlook 中 直接 对 邮件 进行 加 密 ， 可 在 写 新 邮件 时 单 击 
工具 栏 中 的 图 标 PGP Encrypt， 当 邮件 写 完 发 送 时 , PGP 会 如 上 所 示 弹 出 对 话 框 请 求 用 户 
选择 密 铀 ， 同 上 操作 即 可 。 


习题 


2. A 想 要 使 用 非 对 称 密码 系统 向 B 发 送 秘密 


一 、 选 择 题 消息 。A 应 该 使 用 哪个 密 钥 来 加 密 消息 ? (  ) 
1. 密码 技术 的 哪 一 个 目标 不 能 被 对 称 密码 Rh 
技术 实现 ? ( 。 ) C. B 的 公 铀 
A.， 完整 性 D. B 的 私 钥 

B， 保 密 性 3. DES 的 有 效 密 钥 长 度 是 多 少 ? (  ) 
C. 不 可 否认 性 A. 56 比特 
D. 认证 性 B. 112 比特 


NES 
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C. 128 比特 
D.168 比特 
4. 下 面 哪 种 情况 最 适合 使 用 非 对 称 密码 系 
统 ? ( ) 
A. 公司 电子 邮件 系统 
B. 点 到 点 的 VPN 系统 
C. 证 书 认证 机 构 


A. 明文 消息 
B. 密 文 消息 
C. 明文 消息 摘要 
D. 密 文 消息 摘要 
7. Joe 收 到 由 Grace 签 了 名 的 信息 , 请 问 Joe 
该 使 用 哪个 密 钥 来 验证 签名 ? (  ) 


A. Joe 的 公 钥 
D. Web 站 点 认证 B. Joe 的 私 钥 
5. 下 面 哪个 哈 希 函数 最 适合 8 位 处 理 C. Grace 的 公 钥 
咒 ? ( ) D.， Grace 的 私 钥 
A. SHA-256 
B. SHA-512 二 、 问 答题 
C. MD4 
Dp. MD2 1. 密码 技术 主要 有 哪些 ， 有 哪些 应 用 ? 
6. Grace 想 要 使 用 数字 签名 技术 向 Joe 发 送 2， 简 述 对 称 加 密 和 非 对 称 加 密 的 优 缺点 。 
一 则 消息 ， 为 了 获得 数字 签名 ， 她 应 该 对 哪 种 信 3 描述 RSA 加 密 的 算法 过 程 。 
息 进行 签名 ? (  ) 4。 描述 数字 证 书 的 工作 原理 及 分 类 。 
课 后 实践 与 思考 


一 、 在 网 上 下 载 一 款 PGP 软件 安装 在 个 人 主机 上 ， 熟悉 其 使 用 方法 。 然 后 尝试 使 用 


PGP 对 个 人 电脑 上 的 文件 进行 加 密 ， 


尝试 在 同学 之 间 发 送 使 用 PGP 加 密 的 电子 邮件 。 


二 、RADIUS 服务 器 的 配置 ， 如 下 面 实例 所 示 。 


试验 环境 : 3 台 虚 拟 机， 一 台 radius-server， 


2-25 所 示 。 


图 2-2S 


一 台 vpn-server， 


一 台 远 程 client， 如 图 


月 熙 由 和 放 得 访问 本 配 置 下 下 

、 册 个 过 膨 网 过 之 间 约 当 全 庄 徐 。 

各 专 月 网 综 (WPID 网 关 。 

找寻 过 各 访问 最 务 关 。 

网络 地 址 办 甘 RAT) 

LAN 路由 。 

一 个 生态 火 墙 。 
| 


有 关 闪 半路 让 和 远程 访问 ， 邻 敌 方 和 ， 以 及 择 难 解答 的 更 多 信息 ， 
请 才 闻 看 电 。 


次 迎合 用 路 由 和 远程 沪 问 几 
跨 由 和 远程 访问 和 棍 供 到 世 月 风 疙 的 安全 过 程 访 条。 | 
国 | 


实验 环境 


册 N 由 


(1) 配置 vpn-server， 连 接 radius 的 他， 如 图 2-26 所 示 。 


路 由 和 远程 访问 服务 器 安装 向 导 


PH 连接 
要 允许 YPN 客户 端 连 接 到 此 服务 器 ， 至 少 要 有 一 个 网 络 接口 连接 到 


Internets 


选择 将 此 服务 器 连接 到 Internet 的 网 络 接口 。 


TnteT (ER) PEO/I0G0... 10.10. 10°1 


|Y 通过 设置 基本 防火 墙 来 对 选择 的 接口 进行 保护 EE)。 
基本 防火 墙 防止 未 授权 的 用 户 通过 Internet 访问 此 服务 器 。 


有 关 网 络 接口 的 更 多 信息 ， 请 参阅 路 由 和 远程 访问 帮助 。 


《上 一 步 @) 取消 | 


2-26 配置 vpn-server 


(2) 注意 ， 先 不 连接 RADIUS 服务 器 ， 如 图 2-27 所 示 。 
路 由 和 远程 访问 最 务 器 安装 向 导 


管理 多 个 远程 访问 服务 器 
连接 请 求 可 以 在 未 地 进行 身份 验证 ， 或 者 转发 到 远程 身份 验证 拔 号 用 户 服 mn 
务 (RADIVS) 服 务 器 进行 身份 验证 。 i 


昌 然 路 由 和 运 几 加 由 守 生 相 六 客站 验证 ， 汪汪 让 计生 
的 大 型 网 络 通常 使 用 一 个 RAD 和 


回 笑 司 吉 上 名 RADIUS 服务 器 ， 您 可 以 设置 此 服务 器 将 身份 验证 请 


您 想 设置 此 服务 器 与 RADIUS 服务 器 一 起 工作 吗 ? 


《上 一 步 @) 取消 


2-27 不 连接 RADIUS 服务 器 
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(3) 使 用 远程 客户 端 拨号 连接 到 vpn-server， 若 成 功 ， 说 明 vpn-server 配置 没 问题 ， 
如 图 2-28 所 示 。 


2-28 ”vpn-server 配置 成 功 
(4) 改 成 RADIUS 身份 验证 并 配置 ， 如 图 2-29 所 示 。 


图 2-29 RADIUS 身份 验证 


(5) 添加 RADIUS 服务 器 地 址 ， 如 图 2-30 所 示 。 
(6) 同样 ， 记 账 也 改 成 RADIUS 记 账 模式 ， 如 图 2-31 所 示 ， 并 输入 服务 器 地 址 ， 
重启 路 由 远程 服务 即 可 


密码 技术 


添加 RADIUS 服务 器 


图 2-31 修改 记 账 模式 
(7) 再 到 RADIUS 服务 器 上 配置 ， 安 装 组 件 ， 如 图 2-32 所 示 。 


2-32 ”安装 组 件 


(8) 在 管理 工具 中 打开 ， 新 建 RADIUS 客户 端 ， 如 图 2-33 所 示 。 
(9) 输入 共享 的 机 密 ， 就 是 在 vpn 服务 器 上 添加 radius 服务 器 时 输入 的 机 密 ， 如 图 
2-34 所 示 。 
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s Internet 苦 证 服 朵 TE 
文件 全) 操作 () 查看 WW) 帮助 由 

守 | 生 | 四 | 询 | 回民 | 

en EERE x 
外 客户 湛 新 建 EADIVS 客户 端 0 
园 远程 访问 记录 名 称 和 地 址 

于 远程 访问 策略 
由 - 国 连接 请 求 处 理 输入 好 记 的 名 称 ， 和 客户 端的 IP 地址 或 DNS 名 。 


好 记 的 名 称 EE); [eseve 
客 己 请 地 址 CF 或 DRS) @) 


11.14.0.1 证 WW). 


上 — 步 ®B) | 下 — 步 WD > 取消 


: 划 
I i | 


2-33 ”新建 RADIUS 客户 端 


其 他 信息 


hn 请 指定 RADIVS 客户 端的 供应 


客户 端 -供应 商 C): 
MMicrosort 了 | 


共享 的 机 密 (8): pr 
确认 共享 机 密 @) pr 


厂 请 求 必须 包括 消息 验证 程序 属性 &) 


iso] ww | 


图 2-34 输入 共享 的 机 密 


(10) 选择 远程 访问 记录 的 设置 ， 如 图 2-35 所 示 。 
(11) 可 以 发 现 远程 客户 端 上 vpn 连接 已 经 断 了 ， 如 图 2-36 所 示 。 


(12) 接 下 来 在 RADIUS 服务 器 上 创建 用 户 ， 远 程 客户 端 使 用 在 RADIUS 服务 器 上 


创建 的 


户 拨号 ， 登 录 成 功 ， 如 图 2-37 所 示 。 


山 由 


密码 技术 
本 地 文件 尾 性 ?| x 
设置 ”| 日 志文 件 | 
记录 以 下 信息 : 


太 记 由 请 求 记 帐 开 好 或 停止) C) 
[身份 验证 请 求 和 访问 -接受 态 问 -拒绝 ) QD Tl 


| 下 才 的 时 可 兴 的 用 户 名 和 和 容 注 接 到 网 结 。 请 


和 


天 性 关 态 0 时 记 杰 请求] 加 


用 户 名 四: [Administrator 
密码 @): Feeepepeepeeeper] 
域 四 ): 


人 保存 用 户 名 和 密码 @) 


一 | 让 w | 
图 2-35 ”信息 记录 设置 


如 radius 状态 | | 
常规 详细 信息 | 


服务 器 类 型 
TCP/IP 
MS CHAP Y2 
MEPE 128 
压缩 HE) 
PPP 多 重 链接 帧 关 


服务 器 IF 地 址 200. 200. 200.1 
客户 端 I 地 址 200. 200. 200.2 


关闭 CC) | 
图 2-37 登录 成 功 
(13) 查看 radius 服务 器 记录 ， 如 图 2-38 所 示 。 
11.14.0.1, jiangjun,12723/2866,14:33:52, IAS, SKYPC, 44,29,4,11.14.0.1,6,2, 


11.14.0.1, jiangjun,12/23/2886,14:33:52,1AS,SKYPC,25,311 1 11.14.8.18 12 
11.14.8.1,jiangjun,12/23/2886 ,14:33:54,1AS,SKYPC,40,1,41,0,4,11.14.0.1, 


图 2-38 radius 服务 器 记录 


第 3 章 认证 技术 


。 认证 的 基本 概念 

。 认证 所 依赖 的 特殊 因子 
。 认证 的 组 成 部 分 

。 各 种 认证 技术 


3.1) 基本 概念 


认证 是 验证 某 个 人 或 系统 身份 的 过 程 ， 就 是 向 认证 机 构 提供 信息 确认 某 个 人 或 系统 
是 否 是 其 声称 的 那个 人 或 系统 。 例 如 ， 在 私人 计算 机 系统 中 ， 认 证 过 程 通常 是 指 某 个 人 ， 
使 用 由 系统 管理 员 提 供 的 口令 登录 。 用 户 持 有 口令 是 保证 身份 真实 性 的 一 种 手段 。 

- 般 而 言 ， 认 证 要 求 用 户 出 具 一 定 的 证 据 证 明 自 己 就 是 所 声明 的 那个 人 。 这 些 证 据 
建立 在 一 些 独 特 的 认证 因子 上 ， 这 些 因子 可 分 为 3 种 类 型 : 用 户 所 知道 的 ， 用 户 所 拥有 
的 和 用 户 本 身 特有 的 。 

口 用 户 所 知道 的 ” 指 用 户 心 里 知道 的 一 些 东 西 。 可 能 是 一 个 口令 ， 或 用 户 和 认证 
者 共享 的 一 个 机 密 字 。 尽 管 这 种 方法 管理 开销 较 小 ， 但 也 存在 着 用 户 需要 记忆 
大 量 口令 等 一 系列 缺点 。 用 户 可 以 在 所 有 系统 上 使 用 同样 的 口令 登录 ， 也 可 以 
定期 更 换 口令 ， 显然， 第 二 种 方法 更 值得 推荐 。 基 于 这 种 因子 的 认证 实例 包括 
口令、 口令 名 和 个 人 识别 号 (PINs)。 
口 用 户 所 拥有 的 ” 指 用 户 获取 的 关于 身份 识别 的 各 种 物理 实体 ， 如 安全 内 核 、 动 
态 口 令 卡 、 安 全 上 暗号 或 其 他 任何 形式 的 卡 或 标签 。 与 上 一 种 形式 相 比 ， 这 种 方 
法 更 加 安全 。 显 然 ， 保 存 口令 卡 比 记忆 一 长 囊 的 口令 更 加 容易 。 
口 用 户 所 特有 的 ” 指 用 户 本 身 特有 的 生物 特征 ， 比 如 声音 、 指 纹 、 虹 膜 等 其 他 一 
些 生物 特征 。 尽 管 这 些 生物 特 征 易于 使 用 ， 但 读 取 生 物 特征 的 设备 非常 昂贵 。 
这 方面 的 应 用 实例 包括 指纹 、 视 网 膜 、DNA 和 手掌 几何 学 。 
除了 这 3 种 因子 之 外 ， 其 他 一 些 因子 虽然 不 是 直接 的 ， 但 也 在 认证 中 起 到 了 一 定 的 
作用 。 例 如 用 户 的 位 置 ， 通 常 指 用 户 的 物理 或 逻辑 位 置 。 这 种 方法 可 以 被 用 在 访问 某 些 
资源 的 终端 上 。 


3.2) 认证 组 成 
一 个 认证 系统 由 5 部 分 组 成 :请 求 认证 的 用 户 或 工作 组 ， 用 户 或 工作 组 提供 的 用 于 


认证 的 特征 信息 ， 认 证 机 构 ， 认 证 机 制 以 及 接受 或 拒绝 访问 系统 资源 的 访问 控制 机 制 。 
口 用 户 或 工作 组 ” 指 那 些 想 要 访问 系统 资源 的 用 户 或 工作 组 。 如 果 是 个 人 用 户 ， 


认证 技术 


需要 向 认证 机 构 出 示 证 据 来 证 明确 实 已 被 授权 访问 系统 的 资源 。 如 果 是 工作 组 ， 
也 必须 向 认证 机 构 提 供 证 据 证 明 工作 组 中 的 每 一 个 用 户 成 员 都 被 授权 访问 系统 
的 资源 。 

特征 信息 指 用 户 向 认证 机 构 提 供 的 用 于 认证 身份 的 信息 。 如 前 所 述 ， 这 些 信 
息 分 为 4 种 类 型 : 用 户 所 知道 的 、 用 户 所 拥有 的 、 用 户 本 身 特 有 的 和 用 户 的 位 
置 。 申 请 访问 系统 资源 的 用 户 或 工作 组 可 以 使 用 包含 多 种 不 同 特征 的 方法 来 加 
强 认 证 ， 提 供 更 好 的 安全 保证 。 例 如 ， 在 网 上 交易 过 程 中 ， 通 常 需要 用 户 输入 
登录 口令 ， 并 同时 出 具 电 子 密码 卡 ， 确 保 认证 的 安全 性 。 

认证 机 构 ” 指 识别 用 户 并 指明 用 户 是 否 被 授权 访问 系统 资源 的 组 织 或 设备 。 认 
证 机 构 可 以 是 系统 指定 的 服务 器 、 防 火 墙 、 局 域 网 服务 器 、 企 业内 部 专用 服务 
器 ， 也 可 以 是 全 球 身份 认证 服务 器 。 认 证 机 构 通过 执行 完整 的 认证 机 制 来 认证 
用 户 的 身份 。 

认证 机 制 ” 认 证 机 制 由 3 部 分 组 成 ， 分 别 是 输入 组 件 、 传 输 系统 和 核实 器 。 输 
入 组 件 是 用 户 和 认证 系统 之 间 的 接口 ， 用 于 将 用 户 认证 信息 传输 给 认证 系统 。 
在 分 布 式 环境 中 ， 输 入 组 件 可 以 是 计算 机 键盘 、 读 卡 器 、 摄 影 机 、 电 话 等 类 似 
的 设备 。 传 输 系统 负责 在 认证 系统 内 部 各 个 组 件 之 间 传 递 信息 。 核 实 器 是 认证 
过 程 的 关键 组 件 ， 完 成 对 用 户 认证 信息 的 分 析 计 算 。 现 代 认证 系统 中 ， 信 息 在 
网 络 上 传输 ， 可 以 利用 密码 协议 进行 加 密 传 输 ， 也 可 直接 以 明文 形式 发 送 。 
访问 控制 单元 用 户 身份 信息 经 核实 器 分 析 计 算 的 结果 通过 传输 系统 传输 到 访 
问 控制 单元 。 在 这 里 ， 访 问 控制 单元 反复 核对 这 些 信 息 与 数据 库 中 存储 的 用 户 
认证 信息 是 否 匹 配 。 如 果 匹 配 ， 访 问 控制 系统 就 颁布 一 个 临时 证 书 批准 用 户 访 
问 所 需 的 系统 资源 。 如 果 不 匹配 ， 就 拒绝 用 户 对 系统 资源 的 访问 。 存 储 用 户 信 
息 的 数据 库 可 能 存储 在 特定 的 认证 服务 器 上 ， 也 可 储存 在 本 地 介质 文件 中 。 


图 3-1 给 出 了 一 个 完整 的 认证 过 程 。 当 用 户 或 工作 组 申请 使 用 系统 资源 时 ， 向 系统 
提交 身份 认证 信息 ， 这 些 信息 通过 输入 组 件 传输 给 核实 器 。 核 实 器 对 用 户 的 身份 认证 信 
息 进 行 分 析 计算 ， 并 将 结果 传输 给 访问 控制 单元 。 访 问 控制 单元 将 其 与 存储 在 用 户 数据 


库 中 的 月 


上 户 认证 信息 进行 比较 ， 如 果 匹 配 ， 则 接受 用 户 的 访问 请 求 ， 如 果 不 匹 配 ， 则 拒 


绝 用 户 的 访问 请 求 。 


输入 组 件 核实 器 
Pre 
县 可 访问 请 
接受 或 拒绝 访问 请 求 


用 户 特征 信息 
数据 库 


图 3-1 认证 过 程 示意 图 


规避 洲 
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3.3) 认证 技术 
随 着 网 络 安全 技术 的 不 断 发 展 ， 已 经 出 现 了 多 种 不 同 的 认证 技术 。 根 据 不 同 的 功能 


水 平和 安全 需要 ， 这 些 认证 技术 可 以 单独 使 用 ， 也 可 以 同时 使 用 。 主 要 的 认证 技术 包括 
口令 认证 、 公 开 密 钥 认 证 、 远 程 认 证 、 匿 名 认证 和 数字 签名 认证 。 


-533 一 日 令 认证 =-、 


/ 


口令 认证 是 最 古老 、 最 简单 的 一 种 认证 方法 ， 经 常 作为 系统 的 默认 设置 。 口 令 认证 
包括 可 重用 口令 认证 、 一 次 性 口令 认证 、 挑 战 应 答 口令 认证 和 混合 口令 认证 。 


1. 可 重用 口令 认证 


可 重用 口令 认证 有 两 种 类 型 : 用 户 (useD 认 证 和 客户 端 (clienb 认 证 。 
口 用 户 认 证 通常 由 申请 使 用 系统 资源 的 用 户 发 起 。 接 到 用 户 的 资源 使 用 请 求 后 ， 
服务 器 向 用 户 索 要 用 户 名 和 口令 ， 然 后 将 这 些 信 息 和 数据 库 上 的 信息 进行 比 对 ， 
如 果 匹 配 成 功 ， 用 户 请 求 被 允许 ， 可 以 访问 系统 资源 。 例 如 ， 人 们 在 使 用 电脑 
时 ， 需 要 输入 用 户 名 和 口令 ， 就 是 最 简单 的 用 户 认 证 。 
口 客户 端 认证 一 般 情 况 下 ， 用 户 请 求 服务 器 的 认证 ， 然 后 被 授权 使 用 系统 资源 。 
用 户 通 过 认证 并 不 意味 着 可 以 自由 使 用 任何 想 要 的 系统 资源 。 通 过 认证 只 是 说 
明 用 户 被 授权 使 用 所 请 求 的 那些 资源 ， 但 并 不 能 超过 这 个 限度 。 这 种 类 型 的 认 
证 就 叫做 客户 端 认证 。 这 种 认证 根据 用 户 的 身份 ， 使 用 户 受 限 访问 系统 的 资源 。 
可 重用 口令 认证 方法 简单 、 运 行 速度 快 、 使 用 广泛 ， 但 也 存在 着 一 系列 的 问题 。 为 
了 避免 记忆 复杂 口令 , 用 户 常会 选择 简单 口令 , 或 把 口令 值 记录 下 来 , 增加 了 安全 隐患 。 
同时 ， 随 着 计算 机 计算 水 平 的 提高 ， 通 过 蛮 力 攻击 能 够 很 容易 破解 系统 的 口令 值 。 


2. 一 次 性 口令 认证 


一 次 性 口令 认证 也 被 称 为 会 话 认证 ， 认 证 中 的 口令 只 能 被 使 用 一 次 ， 然 后 被 丢弃 ， 
从 而 减少 了 口令 被 破解 的 可 能 性 。 在 一 次 性 口令 认证 中 ， 口 令 值 通常 是 被 加 密 的 ， 避 免 
明文 形式 的 口令 被 攻击 者 截获 。 最 常见 的 一 次 性 口令 认证 方案 是 SKey 和 Token 方案 。 

(1) S/Key 口令 

这 种 口令 认证 基于 MD4 和 MD5 加 密 算法 产生 ,采用 客户 一 服务 器 模式 。 客 户 端 负 
责 用 hash 函数 产生 每 次 登录 使 用 的 口令 ， 服 务 器 端 负责 一 次 性 口令 的 验证 ， 并 支持 用 户 
密 钥 的 安全 交换 。 在 认证 的 预 处 理 过 程 中 ， 服 务 器 将 种 子 以 明文 形式 发 送 给 客户 端 ， 客 
户 端 将 种 子 和 密 钥 拼接 在 一 起 得 到 S。 然 后， 客户 端 对 S 进行 hash 运算 得 到 一 系列 一 次 
性 口令 。 也 就 是 说 ， 第 一 次 口令 是 通过 对 S 进行 N 次 hash 运算 得 到 ， 下 一 次 的 口令 是 
通过 对 S 进行 N-1 次 hash 运算 得 到 。 在 服务 器 端 保存 着 用 户 上 一 次 成 功 登 录 的 口令 值 ， 
因此 ， 当 用 户 访问 系统 时 ， 服 务 器 只 需要 将 本 次 传输 过 来 的 口令 进行 一 次 hash 运算 。 如 
果 得 到 结果 和 存储 的 值 一 致 ， 就 验证 了 用 户 身 份 的 正确 性 。 在 产生 口令 过 程 中 ，hash 函 
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数 的 使 用 次 数 要 逐次 减 1， 因 此 ， 过 一 段 时 间 用 户 就 要 重新 初始 化 用 于 产生 口令 的 密 钥 、 
Re ee es 
对 私有 数据 的 访问 ， 无 法 防范 拦截 并 修改 数据 包 的 攻击 ， 无 法 防范 内 部 攻击 。 
(2) Token ( 令 牌 ) 口令 
这 种 方法 要 求 在 产生 口令 的 时 候 使 用 认证 令 牌 。 根 据 令 牌 产生 的 不 同 ， 又 分 为 两 种 
方式 : 挑战 应 答 式 和 时 间 同 步 式 。 
口 挑战 应 答 式 ”是 一 个 握手 认证 的 过 程 。 用 户 持 有 内 置 种 子 密 钥 和 加 密 算法 的 令 
牌 . 图 3-2 给 出 了 挑战 应 答 式 认 证 的 过 程 。 请 求 使 用 系统 资源 的 时 候 ， 用 户 需 先 
输入 用 户 名 和 静态 口令 ， 之 后 服务 器 会 用 一 个 随机 数 向 用 户 发 起 挑战 。 用 户 将 
此 随机 数 输入 口令 令 牌 卡 进行 进 算 ， 并 将 得 到 的 应 答 传送 给 服务 器 。 服 务 器 使 
用 相同 的 密 钥 和 算法 计算 得 到 应 答 数 ， 并 将 其 和 用 户 送 来 的 应 答 数 进行 比较 。 
如 果 相同 ， 则 允许 用 户 访问 系统 资源 。 在 分 布 式 系统 中 ， 挑 战 应 答 认证 方式 得 
到 广泛 的 应 用 。 但 是 ， 这 种 认证 方式 也 存在 着 一 些 问题 ， 包 括 用 户 交互 问题 及 
易 受 到 试 错 求解 法 的 攻击 。 对 于 服务 器 的 挑战 ， 用 户 必 须 做 出 快速 反应 。 如 果 
超过 时 间 限 制 , 请求 就 会 被 拒绝 。 某 些 情况 下 ， 用 户 还 需要 记 住 较 长 的 应 答 ， 也 很 
容易 出 错 。 在 试 错 攻 击 法 中 ， 攻 击 者 不 断 尝 试 应 答 值 来 登录 系统 。 在 给 定 的 时 间 帧 
中 ， 利 用 功能 强大 的 计算 机 设备 来 自动 产生 应 答 ， 很 可 能 碰 到 正确 应 答 
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3-2 ”挑战 应 答 认证 过 程 


口 ”时间 同步 式 “在 这 种 方式 中 ， 服 务 器 上 存储 有 用 户 的 种 子 密 钥 ， 用 来 产生 口令 。 
用 户 拥有 的 口令 卡 里 同样 存储 有 用 户 的 种 子 密 钥 。 进 行 认证 时 ， 用 户 向 系统 提 
供 PIN 值 以 及 由 口令 卡 根据 当前 时 间 计算 的 口令 值 。 服 务 器 将 用 户 提供 的 口令 
和 自己 计算 所 得 的 口令 进行 对 比 ， 认 证 用 户 。 这 样 计算 的 口令 值 会 随 着 时 间 的 
改变 而 改变 ， 因 此 ， 实 现 了 一 次 性 口令 认证 。 其 存在 的 缺陷 是 必须 保证 服务 器 
和 认证 卡 中 的 时 间 严 格 同步 ， 而 由 于 网 络 在 处 理 和 传输 数据 时 存 着 一 定 的 延迟 ， 
往往 会 导致 认证 失败 。 在 实际 应 用 中 ， 为 了 减少 认证 失败 的 次 数 ， 服 务 器 常常 
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使 用 一 个 比 口令 卡 大 得 多 的 持续 时 间作 为 有 效 的 时 间 范 围 。 当 用 户 登录 时 ， 服 
务 器 会 在 有 效 的 时 间 范 围 内 产生 很 多 个 口令 ， 如 果 其 中 有 一 个 与 用 户 的 口令 一 
致 ， 就 允许 访问 。 这 样 做 ， 虽 然 减少 了 认证 失败 的 次 数 ， 但 是 却 加 大 了 服务 器 
的 运算 负担 ， 并 且 增加 了 第 三 方 重复 攻击 的 危险 。 


公 钥 认证 要 求 每 个 用 户 首先 产生 一 对 由 公 钥 和 私 钥 组 成 的 密 钥 对 , 并 存储 在 文件 中 。 
每 个 密 钥 对 由 密 钥 产生 装置 产生 ， 通 常 是 1024 到 2048 比特 。 用 户 把 公 钥 公布 出 来 ， 而 
私 钥 由 本 人 保存 。 

公 钥 系统 被 认证 系统 用 来 增加 系统 的 安全 。 中 央 认 证 服务 器 (通常 称 为 访问 控制 服 
务 器 (ACS)) 负责 使 用 公 钥 系统 进行 认证 。 当 一 个 用 户 试图 访问 ACS 时 ，ACS 查找 用 
户 的 公 铀 ， 用 它 加 密 并 向 用 户 发 送 一 个 挑战 。 如 果 用 户 使 用 私 钥 对 这 个 挑战 的 应 答 做 了 
签名 ， 那 么 这 个 用 户 就 被 认证 为 合法 的 。 

公 钥 认证 的 实例 主要 包括 安全 套 接 层 (SSL) 认证 、Kerberos 认证 以 及 MD5 认证 。 
关于 安全 套 接 层 (SSL ) 协 议 及 Kerberos 协议 将 在 第 4 章 作 详细 介绍 ,下面 主 要 介绍 MD5 
认证 。 

MD5 即 Message-Digest Algorithm 5 信息 一 摘要 算法 5)， 在 20 世纪 90 年 代 初 由 
MIT Laboratory for Computer Science 和 RSA Data Security Inc 的 Ronald L. Rivest 开发 出 
来 ， 是 计算 机 广泛 使 用 的 散 列 算法 之 一 ， 其 前 身 有 MD2、MD3 和 MD4。 

MDS5 是 一 个 安全 散 列 函数 ， 它 将 任意 长 度 的 消息 映射 为 一 个 128 位 的 大 整数 ， 用 以 
提供 信息 的 完整 性 保护 。 对 MD5 算法 简要 的 叙述 可 以 为 : MD5 以 512 位 分 组 来 处 理 输 
入 的 信息 ， 且 每 一 分 组 又 被 划分 为 16 个 32 位 子 分 组 ， 经 过 了 一 系列 的 处 理 后 ， 算 法 的 
输出 由 4 个 32 位 分 组 组 成 ， 将 这 4 个 32 位 分 组 级 联 后 将 生成 一 个 128 位 散 列 值 。 以 下 
是 每 次 操作 中 用 到 的 4 个 非 线性 函数 ， 其 基本 方式 为 求 余 、 取 余 、 调 整 长 度 、 与 链接 变 
量 进 行 循环 运算 ， 最 终 得 出 结果 。 

FGK，Y， 刀 = 人 口 习 口 CXDD) 
G(X, Y, Z)=(XOZ)O(YO-Z) 
H(X, Y, Z)=XeYez 

IX, Y, Z)=Ye (XO -2Z) 

这 4 个 函数 的 说 明 : 如 果 久 、Y 和 ZZ 的 对 应 位 是 独立 和 均匀 的 ， 那 么 结果 的 每 一 位 
也 应 该 是 独立 和 均匀 的 。F 是 一 个 逐 位 运算 的 函数 ， 即 如 果 X， 那 么 Y， 否 则 Z。 函 数 再 
是 逐 位 奇偶 操作 符 。 其 中 @ 、 口 、 口 、- 分 别 是 抑或 、 与 、 或 、 非 的 符号 。 

图 3-3 简单 描述 了 一 个 MD5 运算 的 原理 ， 它 由 类 似 的 64 次 循环 构成 ， 分 成 4 组 16 
次 。F 表示 一 个 非 线性 函数 ; 一 个 函数 运算 一 次 。Mi 表示 一 个 32 位 的 输入 数据 ，Ki 表 
示 一 个 32 位 常数 ， 用 来 完成 每 次 不 同 的 计算 。 

MD5 的 典型 应 用 是 对 一 段 信息 产生 信息 摘要 , 以 防止 被 自 改 。 比如 , 在 UNIX/Linux 
下 有 很 多 软件 在 下 载 的 时 候 都 会 附带 一 个 文件 名 相同 ， 文 件 扩展 名 为 .md5 的 文件 ， 在 这 
个 文件 中 通常 只 有 一 行文 本 ， 大 致 内 容 如 下 : 
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图 3-3 MDS5 运算 原理 图 


MD5 (testfile.tar.gz) = Ohalas8gs0f726a831d895e2693387u6 


这 就 是 testfile.tar.gz 文件 的 数字 签名 。MD5 将 整个 文件 当 作 一 个 大 文本 信息 ， 通 过 
其 不 可 逆 的 字符 串 变 换算 法 ， 产 生 了 该 文件 唯一 的 MD5 信息 摘要 。 如 果 在 传播 中 ， 该 
文件 的 内 容 发 生 了 任何 形式 的 改变 (如 入 为 修改 或 者 下 载 过 程 中 的 传输 错误 等 ), 该 文件 
的 MD5 值 就 会 发 生 巨大 变化 ， 由 此 可 以 确定 该 文件 是 一 个 不 正确 的 文件 ， 而 非 提供 者 
提供 的 那个 文件 。 如 果 有 一 个 第 三 方 的 认证 机 构 ， 用 MD5 还 可 以 防止 文件 作者 的 “ 抵 
赖 ”， 这 就 是 所 谓 的 数字 签名 应 用 。 

MD5 还 可 以 用 来 进行 认证 。 事 实 上 ，MD5 认证 过 程 非常 简单 。 如 在 UNIX 系统 中 
用 户 的 口令 是 以 MD5 经 Hash 运算 后 存储 在 文件 系统 中 。 当 用 户 登 录 时 ， 系 统 把 用 户 输 
入 的 口令 进行 MD5 Hash 运算 , 然后 将 其 与 保存 在 文件 系统 中 的 MD5 值 进行 比较 , 进而 
确定 输入 的 口令 是 否 正确 。 通 过 这 样 的 步骤 , 系统 在 并 不 知道 用 户口 令 明 文 的 情况 下 就 可 以 
确定 用 户 登 录 系统 的 合法 性 ， 可 以 避免 用 户 的 口令 被 具有 系统 管理 员 权 限 的 用 户 知道 。 


9 -53:333 二 远程 庆 证 =-、 


远程 认证 用 来 认证 从 远程 主机 拨号 接 入 访问 控制 服务 器 ACS 的 用 户 。 有 多 种 远程 认 
证 的 方法 ， 包 括 使 用 安全 的 远程 过 程 调用 (RPC)、Dail-in 拨号 认证 以 及 RADIUS 认证 。 


1. 安全 RPC 认证 


在 很 多 服务 中 ， 尤 其 是 Interet 服务 ， 客 户 端 并 不 想 向 服务 器 认证 自己 的 身份 ， 服 
务 器 也 不 要 求 对 所 有 的 客户 端 进行 认证 。 这 种 类 型 的 服务 ， 例 如 网 络 文件 系统 NFS)， 
比 起 其 他 的 服务 要 求 更 强 的 安全 性 。RPC 认证 子 系统 的 数据 包 是 开放 式 的 ， 因 此 RPC 
可 以 使 用 不 同 格式 和 多 种 类 型 的 认证 ， 包 括 NULL 认证 、UNIX 认证 、DES 认证 、DES 
认证 协议 、Diffie-Hellman 加 密 。 

无 论 RPC 使 用 哪 种 类 型 的 加 密 算法 , 对 于 服务 器 和 用 户 之 间 的 密 钥 调用 ,提供 拨号 
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服务 的 服务 器 都 要 求 对 用 户 进 行 认证 。 

2. Dial-in 拨号 认证 

用 户 进 行 远程 呼叫 时 ， 拨 号 入 网 过 程 中 经 常 被 要 求 输入 口令 。 在 拨号 入 网 连接 中 ， 
点 对 点 形式 是 最 普遍 的 一 种 方式 。 用 户 成 功 登 录 之 前 必须 要 进行 认证 。 有 很 多 种 拨号 认 
证 协议 ， 例 如 ，PPP 认证 机 制 包括 的 口令 认证 协议 (PAP)、 挑 战 握手 协议 (CHAP) 以 
及 扩展 认证 协议 (EAP)。 


3. 远程 用 户 拨号 认证 (RADIUS) 


RADIUS 协议 最 初 是 由 Livingston 公司 提出 的 ， 最 初 的 目的 是 为 拨号 用 户 进行 认证 
和 计 费 。 多 次 修改 后 形成 了 一 项 通用 的 认证 计 费 协议 。 

RADIUS 是 一 种 C/S 结构 的 协议 ， 其 客户 端 最 初 是 NAS (Net Access Server) 服务 
器 ,现在 任何 运行 RADIUS 客户 端 软件 的 计算 机 都 可 以 成 为 RADIUS 的 客户 端 ,RADIUS 
协议 认证 机 制 灵活 ， 可 以 采用 PAP、 CHAP 或 UNIX 登录 认证 等 多 种 方式 。 

用 户 接 入 NAS，NAS 向 RADIUS 服务 器 使 用 Access-Require 数据 包 提 交 用 户 信息 ， 
包括 用 户 名 、 口 令 等 相关 信息 ， 其 中 用 户口 令 是 经 过 MD5 加 密 的 ， 双 方 使 用 共享 密 钥 ， 
这 个 密 钥 不 经 过 网 络 传播 ， RADIUS 服务 器 对 用 户 名 和 口令 的 合法 性 进行 检验 ， 必 要 时 
可 以 提出 一 个 Challenge， 要 求 进一步 对 用 户 认 证 ， 也 可 以 对 NAS 进行 类 似 的 认证 ;如 
果 合 法 ， 给 NAS 返回 Access-Accept 数据 包 ， 人 允许 用 户 进行 下 一 步 工作 ， 和 否则 返回 
Access-Reject 数据 包 ， 拒 绝 用 户 访问 ; 如 果 允 许 访问 ，NAS 向 RADIUS 服务 器 提出 计 费 
请 求 Account- Require，RADIUS 服务 器 啊 应 Account-Accept， 对 用 户 的 计 费 开始 ， 同 时 
用 户 可 以 进行 自己 的 相关 操作 。 


@ - 3.3.4 匿名 认证 -、 


/ 


在 对 用 户 进行 认证 的 时 候 往往 需要 用 户 出 示 某 些 个 人 信息 对 其 身份 进行 认证 ， 但 是 
并 非 所 有 用 户 都 愿意 这 样 做 。 能 不 能 在 不 确认 对 方 具体 身份 的 前 提 下 就 能 鉴别 对 方 ， 而 
给 与 对 方 某 种 相应 的 权利 呢 ? 比如 很 多 商场 都 有 贵宾 卡 制度 ， 顾 客 可 以 在 购物 的 时 候 出 
示 贵 宾 卡 从 而 享受 一 定 的 打折 优惠 。 在 结账 的 时 候 ， 收 银 员 并 不 知道 顾客 的 真实 身份 ， 
只 是 根据 顾客 所 出 示 的 贵宾 卡 就 承认 顾客 所 要 求 的 打折 权利 。 这 个 例子 的 特点 是 认证 机 
构 〈 收 银 员 ) 在 信任 对 方 并 赋予 对 方 权利 的 时 候 并 不 知道 对 方 的 具体 身份 。 匿 名 认证 技 
术 正 是 来 源 这 样 一 种 要 求 ， 被 认证 者 要 求 某 种 权利 ， 而 同时 不 提供 具体 的 个 体 信息 。 

匿名 认证 ， 从 原理 上 可 以 简单 地 归结 为 将 认证 过 程 和 个 人 信息 相 分 离 。 按 照 分 离 的 
手段 不 同 ， 匿 名 认证 可 以 有 多 种 实现 方式 。 


@-- 3.3.5 “基于 数字 签名 的 认证 


基于 数字 签名 的 认证 是 另 一 种 不 需要 口令 和 用 户 名 的 认证 技术 。 数 字 签名 是 被 信息 
接收 者 或 任何 第 三 方 用 来 验证 发 送 者 身份 以 及 信息 的 一 种 密码 方案 。 这 种 方案 可 能 包含 


认证 技术 


一 系列 的 算法 和 函数 ， 例 如 数字 签名 算法 (DSA)、 椭 圆 曲 线 数字 签名 算法 (ECDSA)、 
账户 认证 数字 签名 、 认 证 函数 以 及 签名 函数 等 。 

数字 签名 和 手写 签名 的 作用 是 一 样 的 ， 也 是 来 认证 签名 者 。 数 字 签名 被 用 来 认证 签 
名 者 已 经 答应 的 事情 ， 防 止 他 收回 自己 的 承诺 。 像 纸 质 签名 一 样 ， 数 字 签 名 在 信息 和 信 
息 签 名 者 之 间 建 立 了 一 种 法 律 的 和 心理 的 联系 。 

数字 签名 使 用 了 PKI， 所 以 使 用 该 方案 就 必须 获得 一 个 公 钥 和 一 个 私 钥 。 私 钥 被 用 
户 保 存 ， 用 来 对 文件 进行 签名 。 文 件 认 证 者 使 用 签名 者 的 公 钥 来 确认 签名 者 就 是 他 所 声 
明 的 那个 人 。 用 户 向 ACS 发 送 认证 请 求 和 密 钥 。 接 到 认证 请 求 之 后 ， 服 务 器 使 用 它 的 私 
钥 来 解密 这 个 请 求 。 之 后 ， 使 用 签名 者 的 公 钥 就 可 以 验证 签名 了 。 


习题 
B. Kerberos 认证 
一 、 选 择 题 C. 安全 RPC 认证 
1. 下 面 哪 项 不 属于 口令 认证 ? ( ) D. MD5 认证 
A. 可 重用 口令 认证 二 午后 
二 、 问答 题 
B. 一 次 性 口令 认证 
C. 安全 套 接 层 认 证 1. 简 述 认证 的 组 成 及 其 功能 。 
D. 挑战 应 答 口令 认证 2. 简 述 S/Key 口令 认证 原理 。 
2. 公 钥 认证 不 包括 下 列 哪 一 项 ? 人 3. Kerberos 是 如 何 认证 的 ? 
A. SSL 认证 
| 培 * 
课 后 实践 


802.1X 认证 完整 配置 过 程 说 明 


802.1x 协议 起 源 于 802.11 协议 ， 后 者 是 IEEE 的 无 线 局 域 网 协议 ， 制 定 802.1x 协议 
的 初衷 是 为 了 解决 无 线 局 域 网 用 户 的 接 入 认证 问题 。IEEE802LAN 协议 定义 的 局 域 网 并 
不 提供 接 入 认证 ， 只 要 用 户 能 接 入 局 域 网 控制 设备 (如 LANS witch) 就 可 以 访问 局 域 网 
中 的 设备 或 资源 。 这 在 早期 企业 网 有 线 LAN 应 用 环境 下 并 不 存在 明显 的 安全 隐患 。 但 是 
随 着 移动 办 公 及 驻地 网 运营 等 应 用 的 大 规模 发 展 ， 服 务 提供 者 需要 对 用 户 的 接 入 进行 控 
制 和 配置 。 尤 其 是 WLAN 的 应 用 和 LAN 接 入 在 电信 网 上 大 规模 开展 ， 有 必要 对 端口 加 
以 控制 以 实现 用 户 级 的 接 入 控制 ，802.lx 就 是 IEEE 为 了 解决 基于 端口 的 接 入 控制 
(Port-Based Network Access Control) 而 定义 的 一 个 标准 。 

802.1x 协议 认证 过 程 如 下 。 

(1) 客户 端 向 接 入 设备 发 送 一 个 EAPoL-Start 报 文 ， 开 始 802.1x 认证 接 入 。 

(2) 接 入 设备 向 客户 端 发 送 EAP-Request/Identity 报 文 , 要 求 客户 端 将 用 户 名 送 上 来 。 

(3) 客户 端 回应 一 个 EAP-Response/Identity 给 接 入 设备 的 请 求 ， 其 中 包括 用 户 名 。 

(4) 接 入 设备 将 EAP-Response/Identity 报 文 封装 到 RADIUS Access-Request 报 文中 ， 
发 送 给 认证 服务 器 。 

(5) 认证 服务 器 产生 一 个 Challenge， 通 过 接 入 设备 将 RADIUS Access-Challenge 报 
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文 发 送 给 客户 端 ， 其 中 包含 有 EAP-Request/MD5-Challenge。 

(6) 接 入 设备 通过 EAP-RequesVMD5-Challenge 发 送 给 客户 端 ， 要 求 客 户 端 进行 认证 。 

(7) 客户 端 收 到 EAP-Request/MD5-Challenge 报 文 后 ， 将 密码 和 Challenge 做 MD5 
算法 后 的 Challenged-Pass-word， 在 EAP-Response/MD5-Challenge 回应 给 接 入 设备 。 

(8) 接 入 设备 将 Challenge，Challenged Password 和 用 户 名 一 起 送 到 RADIUS 服务 器 ， 
由 RADIUS 服务 器 进行 认证 。 

(9) RADIUS 服务 器 根据 用 户 信 息 做 MD5 算法 ， 判 断 用 户 是 否 合 法 ， 然 后 回应 认 
证 成 功 /失败 报 文 到 接 入 设备 。 如 果 成 功 ， 携 带 协商 参数 ， 以 及 用 户 的 相关 业务 属性 给 用 
户 授权 ;如果 认 证 失败 ， 则 流程 到 此 结束 。 

(10) 如 果 认 证 通过 ， 用 户 通 过 标准 的 DHCP 协议 (可 以 是 DHCP Relay)， 通 过 接 
入 设备 获取 规划 的 他 地址。 

(11) 如 果 认 证 通过 ， 接 入 设备 发 起 计 费 开始 请 求 给 RADIUS 用 户 认 证 服务 器 。 

(12) RADIUS 用 户 认 证 服务 器 回应 计 费 开始 请 求 报 文 。 用 户 上 线 完毕 。 

802.1x 认证 的 网 络 拓扑 结构 如 图 3-4 所 示 。 


访问 
J 客户 端 
无 线 
拨 入 VPN .2 访 问 点 上 访问 
服务 尖 加 必 用 才 < 过 了 服务 器 
-一 一 上 RADIUS 
协议 
浊 RADIUS 
| 代理 服务 器 
IAS 
| 服务 器 
SD Directory 
域 控 制 器 


图 3-4 802.1x 认证 的 网 络 拓扑 结构 


认证 客户 端 采 用 无 线 客 户 端 ， 无 线 接 入 点 是 用 Cisco2100 Wireless Controller， 服 务 
器 安装 Windows Server 2003 sp1; 所 以 完整 的 配置 方案 应 该 对 这 三 者 都 进行 相关 配置 ， 
思路 是 首先 配置 RADIUS Server 端 ， 其 次 是 配置 无 线 接 入 点 ， 最 后 配置 无 线 客户 端 ， 这 
三 者 的 配置 先后 顺序 是 无 所 谓 的 。 

配置 内 容 见 表 3-1。 


表 3-1 配置 方案 
配置 RADIUS Server Access Pointer Wireless Client 
IPAddress 192.168.1.188 192.168.1.201 DHCP 自动 获得 


Operate System Windows Server 2003 CISCO Wireless controller Windows XP 


认证 技术 
1. 配置 RADIUS Server 步骤 


配置 RADIUS Server 的 前 提 是 要 在 服务 器 上 安装 Active Directory、IAS (internet 验 
证 服务 )、IIS 管理 器 〈Intemet 信息 服务 管理 器 ) 和 证 书 颁发 机 构 。 

如 果 没 有 安装 AD, 在 “开始 ”一 “运行 ”一 “命令 ”文本 框 中 输入 命令 “dcpromo”， 
然后 按照 提示 安装 就 可 以 了 。 

如 果 没 有 安装 证 书 颁发 机 构 ， 就 在 “控制 面板 ”一 “添加 删除 程序 ”一 “添加 /删除 
Windows 组 件 ” 一 “Windows 组 件 向 导 ” 的 组 件 中 选择 “证 书 服务 ”并 按 提 示 安 装 。 

如 果 没 有 安装 IAS 和 IIS, 就 在 “控制 面板 ”一 “添加 删除 程序 ”一 “添加 /删除 Windows 
组 件 ” 一 “Windows 组 件 向 导 ” 的 组 件 中 选择 “网 络 服务 ”， 按 提示 完成 安装 。 
在 AD 和 证 书 服务 没有 安装 时 ， 要 先 安装 AD 然后 安装 证 书 服务 ， 如 果 此 顺序 反 了 ， 
证 书 服务 中 的 企业 根 证 书 服务 则 不 能 选择 安装 。 
在 这 4 个 管理 部 件 都 安装 的 条 件 下 ， 可 以 配置 RADIUS 服务 器 了 。 

2. 默认 域 安全 设置 

单 击 “ 开 始 ” 一 “管理 工具 ”一 “ 域 安全 策略 ”命令 ， 进 入 默认 域 安全 设置 ， 展开 
“安全 设置 ”一 “账户 策略 ”一 “密码 策略 ” 结果 如 图 3-5 所 示 。 在 右 侧 列 出 的 策略 中 ， 
右 击 “密码 必须 符合 复杂 性 要 求 ”并 选择 “属性 ”命令 ， 将 这 个 策略 设置 成 “已 禁用 ”， 
如 图 3-6 所 示 。 


文件。 换 作 名 查看 GD。 性 肋 0 
二 | 白 国 区区 | 国 


Err | 
加 NF 昌 动 关机 ) 可 必须 符合 复 休 性 要 未 已 只 用 
日 部 安 主 8 重 国 玫 双轨 基 沾 信 1 TF 
日 茸 忧 PRS a 妇 天 
六 友信 二 信用 1 天 
部 帐户 把守 第 办 24 个 记性 的 才 码 
Kerteros 第 中 不 夺 4 闪 对 让 和 多 
由 国 林 击 策略 | 
由 ,出 事件 日 志 
EE 
由 全 不 统 服 务 
由 国 这 用 表 
直人 文件 系统 


让 闻 天 起 网 TEPE 602 11) 负 | 
由 国信 外 策略 
让 国 元 了 和 办 

晶 ,在 ictime 


本 [ECE 


3-5 ”密码 策略 
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图 3-6 安全 策略 设置 


52 在 完成 此 设置 后 ， 后 面 创建 客户 端 密码 时 会 省 去 一 些 麻烦 。 
3. 配置 Active Directory 用 户 和 计算 机 


单 击 “ 开 始 ” 一 “管理 工具 ”一 Active Directory 命令 ， 展 开 根 域 zhanggc.com ( 根 
域 的 命名 方式 见 帮 助 )， 在 Users 中 新 建 一 个 组 ， 如 图 3-7 所 示 。 


的 局 补 多 洗 攻 和 证 hctive Directory 


全 六 


加 员 可 以 泛 有 此 系统 上 的 Telzet 联 务 吉 - 


基地 六 名 


对 rn 节 各 各 只 污 沪 问 和 的 克明 


| 


图 3-7 新 建 组 
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将 新 建 的 组 归 类 到 安全 组 ， 作 用 于 全 局 ， 如 图 3-8 所 示 ， 单 击 “ 确 定 ”按钮 即 完成 
新 建 组 。 


3-8 新建 组 设置 


再 在 Users 中 新 建 一 个 用 户 ， 如 图 3-9 所 示 。 这 个 用 户 的 姓名 一 定 要 记 住 ， 它 是 在 
无 线 客户 端 证 书 验证 时 要 用 的 名 字 。 


3-9 ”新 建 用 户 


单 击 “下 一 步 ” 按 钮 ， 输 入 密码 ， 这 个 密码 一 定 要 记 住 ， 它 是 在 无 线 客户 端 要 用 的 
密码 ， 单 击 “ 下 一 步 ”按钮 完成 新 创建 用 户 。 

将 新 建 用 户 zgongchang 加 入 到 新 建 的 组 testl 中 ， 如 图 3-10 所 示 。 

选择 组 时 ， 单 击 “ 高 级 ”按钮 后 再 单 击 “ 立 即 查找 ”按钮 ， 选 择 想 加 入 的 组 ， 如 图 
3-11 所 示 。 以 后 两 次 单 击 “ 确 定 ”按钮 即 可 ， 结 果 如 图 3-12 所 示 。 
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户 管理 计算 机 喊 ) 的 内 秆 帐户 
此 组 的 成 员 被 允许 发 行 证 书 到 hctive Directery 


国 Conputers 


- 国 pmsin Contrellers 对 IEP 服务 器 有 管理 访问 权 的 成 民 
np Users 。 对 INP 服务 只 有 只 访 访 问 权 的 成 员 
5 管理 员 超 


nsAdnins ys 
spdatePr ory 郊 许 著 其 地 客户 菇 各 DHCP 职务 器 :执行 动态 更 新 的 JRS 客户 靖 * 
Domain Adnins 指定 的 域 管理 员 
Dnain Computers 加 入 到 域 中 的 所 有 工作 站 和 服务 器 
Domain Controllers 域 中 所 有 域 控制 器 

域 的 所 有 来 宾 

所 有 二 用 户 

全 业 的 指定 系统 管理 员 

这 个 姐 中 的 成 员 可 以 修改 域 的 组 策略 

供 来 宾 访问 计算 机 或 访问 域 的 内 置 帐户 

帮助 和 支持 中 心 息 

ITS 工作 进程 组 


匿名 边 问 lnternet 信息 服务 的 内 年 帐户 

用 于 启动 进程 外 应 用 程序 的 Internet 信息 服务 的 内 秆 帐户 
这 个 组 中 的 服务 器 可 以 访问 用 户 的 运程 访问 属性 

架构 的 指定 系统 管理 员 


这 是 一 个 帮助 和 支持 服务 的 提供 商 帐 户 
本 组 的 成 员 可 以 这 问 此 系统 上 的 Telnet 服务 器 。 


对 WITHS 服务 器 羽 有 只 读 访 问 权 的 成 员 


图 3-10 用 户 添 加 到 组 


3-11 选择 组 
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管理 十 等 用 赋 ) 的 办 至 要 户 
此 四 的 成 员 读 扣 许 优生 正和 | ketive Directory 


一 国 pmain centralers 对 DCE 服务 器 有 等 至 沪 问 权 的 成 员 
旦 Foreigrsecmityrincipe 对 TIE 服务 只 有 只 法 沪 河 权 的 时 名 


-Ts 管理 组 
多 许 革 生 客户 病人 DCP 服务 器 ) 执 行动 击 更 新 的 RS 客户 六 
指定 的 域 车 理 员 


是 一 个 二 


是 一 个 二 及 帮 雪 计 最 务 的 提供 向 帐 忆 
二 扯 的 成 员 可 以 沪 问 此 系 坑 上 的 Telaet 服务 器 。 


图 3-12 成 功 添加 到 组 
右 击 新 建 组 test1， 选 择 “ 属 性 ”命令 ， 开 始 配 置 新 建 的 组 (新 建 用 户 zgongchang 


也 在 其 中 )， 选 择 “隶属 于 ”选项 卡 ， 单 击 “ 添 加 ”按钮 ， 如 图 3-13 所 示 ， 在 选择 组 中 
单 击 “ 高 级 ”按钮 。 


医 各 访问 Thterae+ 车 自 报 各 的 内 署 帐 户 
月 于 启动 游程 外 室 有 程 字 约 Internet 伟 息 服务 的 内 秆 帐户 
-这 个 钥 中 的 服务 右 可 以 访问 用 户 的 元 各 访问 展 性 
全 局 


这 是 一 个 帮助 和 支 竺 报 务 的 提 从 靖 帐 记 
二 组 的 成 咽 可 以 沪 问 此 系统 上 的 Telnet 服务 器 。 


图 3-13 ”新建 组 属性 
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单 击 “ 立 即 查找 ”按钮 ， 选 择 所 有 组 〈 在 保险 情况 下 ， 最 好 全 选 )， 如 图 3-14 所 示 ， 
然后 依次 单 击 “ 确 定 ”按钮 ,“ 隶 属于 ”设置 完毕 。 


iibet 


图 3-14 选择 组 


选择 “管理 者 ”选项 卡 ， 和 上 面相 似 ， 选 择 被 “zgongchang” 管 理 ， 如 图 3-15 和 图 
3-16 所 示 。 


3-15 ”管理 者 设置 1 


3-16 ”管理 者 设置 2 


至 此 ，AD 配置 完成 。 
4. 设置 自动 申请 证 书 


下 面 是 说 明 如 何 使 用 组 策略 管理 单元 ， 在 默认 组 策略 对 象 中 创建 自动 申请 证 书 。 
单 击 “ 开 始 ” 一 “管理 工具 ”一 “Active Directory 用 户 和 计算 机 ”命令 ， 会 显示 在 
根 域 下 的 各 个 单元 ， 右 击 根 域 (zhanggc.com)， 选 择 “ 属 性 ”命令 ， 如 图 3-17 所 示 。 


图 3-17 右 击 根 目录 
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打开 根 域 属性 的 配置 框 , 选择 “组 策略 ”选项 卡 , 如 图 3-18 所 示 , 选中 Default Domain 
Policy 项 , 并 单 击 “ 编 辑 ” 按 钮 , 就 会 进入 “组 策略 编辑 器 ”展开 “计算 机 配置 ”一 “Windows 
设置 ”一 “安全 设置 ”一 “ 公 钥 策略 ”一 “自动 申请 证 书 ” 右 击 ， 选 择 “ 新 建 ” 一 “ 自 
动 证 书 申请 ”命令 ， 如 图 3-19 所 示 ， 下 面 会 进入 自动 证 书 申请 向 导 中 ， 如 图 3-20 所 示 ， 
“证 书 模版 ”一 般 选 用 “计算 机 ” 如 图 3-21 所 示 ， 单 击 “ 下 一 步 ” 按 钮 即 可 完成 自动 申 
请 证 书 ， 结 果 如 图 3-22 所 示 。 


3-18 组 策略 


图 3-19 新 建 自动 证 书 申 请 


册 证 潞 


认证 技术 


Llalyg 
志文 二 四 控 作 查看 四 牢 口 人 ) 帮助 外 |=lalzl 
和 9+| 央 | 加 | 条 | 贸 国 民 | 旬 | 六 计 外 了 @ 

[二 Active Directory | hnear cm ”5 个 于 萌 


国 保存 的 坦 询 
a | 
国 puatin 
由 国 Computers 
国 Domain Cont 
国 PoreigSem 
国 Ws 


3 J 
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欢迎 使 用 自动 证 节 申 请 设置 问 导 


该 庙 导 硕 肪 各 为 二 机 计生 外 动 证 书 中 请 


用 请 。 系 坟 管 理 郧 可 以 指定 计算 机 能 自动 
a 


要 继续 ， 请 单 击 “下 一 步 " 


让 国 软件 限制 营 
本 安全 策略 , 在 


加 下 上 | Jslvls 


3-20 ”自动 证 书 申请 设置 


HI alaladl 
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图 3-21 证 书 模板 选择 
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SE| 
和 | 
恩 日 凡 | 昌 | 各 闻 外 了 全 


ere sm 5 直系 


正在 完成 自动 证 书 申请 设置 向 导 


知己 成 Ws 二 省 中 庄 设 置身 叶 - 
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起 lelz 
L 


3-22 ”完成 自动 证 书 申请 设置 


自动 申请 证 书 以 后 ， 在 “组 策略 编辑 器 ”的 “自动 申请 证 书 ” 右 侧 框 中 会 有 一 个 申 
请 成 功 的 “计算 机 ”。 


5. 配置 Internet 验证 服务 (IAS) 


单 击 “开始 ”一 “管理 工具 ”一 “Internet 验证 服务 ”命令 ， 如 图 3-23 所 示 ， 逐 项 
配置 “RADIUS 客户 端 ^“ 远 程 访问 记录 ”“ 远 程 访问 策略 “连接 请 求 处 理 ” 等 。 
IE 
+*»| 加 | 宝 | 辐 | 加 
om | 


3 mon rote Wi 


Ee , 

人 Sa en sone se Ran 
Be Dee OP REE ie ee 

ee 
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3-23 ”Internet 验证 服务 


认证 技术 


6. 配置 “RADIUS 客户 端 ” 


在 配置 环境 中 就 是 配置 无 线 接 入 点 (192.168.1.201)。 新 建 RADIUS 客户 端 ， 如 图 
3-24 和 图 3-25 所 示 。 


3-24 ”新 建 RADIUS 客户 端 


图 3-25 ”验证 客户 端 
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RADIUS 客户 端的 了 P 地 址 一 定 是 无 线 接 入 点 的 他 地址， 这 一 点 最 重要 。 
如 图 3-26 所 示 ,“ 客 户 端 -供应 商 ” 一 般 选 择 RADIUS Standard,“ 共 享 的 机 密 ” 中 随 
便 输入 密码 ， 至 此 ，RADIUS 客户 端 配置 完成 。 


3-26 ”新建 RADIUS 客户 端的 其 他 信息 


7. 配置 “远程 访问 记录 ” 


左 击 “远程 访问 记录 ”项 , 在 日 志 记录 方法 中 右 击 “本 地 文件 ”， 单 击 “ 属 性 ”命令 ， 
配置 本 地 文件 属性 ， 如 图 3-27 所 示 。 


图 3-27 本 地 文件 属性 


内 局 小 
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“设置 ”选项 卡 里 一 般 选择 “身份 验证 请 求 ” 复 选 框 ， 如 果 还 要 求 计 账 ， 青 选择 “ 记 
账 请 求 ” 复 选 框 。 

如 图 3-28 所 示 。“ 日 志文 件 ” 选 项 卡 里 格式 选择 “IAS”， 可 以 每 天 创建 日 志文 件 ， 
在 不 用 数据 库存 储 日 志 记 录 的 情况 下 就 不 用 采用 SQL Server 的 日 志 记 录 方 法 了 ,所 以 不 


配置 它 。 关 于 日 志文 件 里 的 格式 规则 (记录 RADIUS 证 书 验证 的 各 种 信息 )， 参 看 相关 
帮助 。 


文件 妈 ”操作 避 查看 WD 帮助 0 


ial 
个 少 | 外 | 加 | 罗 罗 | 多 


全 客户 并 本 地 文 件 C:\TIIDOTS\syst en32\LoeFiles 
本 运程 访问 记录 SQL Server 祭 配 置 > 
车 远程 访问 第 略 


由 回 连接 请 求 处 理 


FE mors\systene oriies ME) 
ED): 
a 
个 数据 库 革 容 加 ) 
他 里 新 日 志文 件 : 
个 故 天 员 ) 
三 本 周 思 ) 
个 委 月 虽 
个 从 不 文件 大 小 无 限制) 四 
个 当日 志文 件 大 小 达到 0D: 加 吧 
订 而 委 济 时 贡院 较 的 日 志文 件 I) 


CE Ew | mw | 


谍 [wE 


3-28 日 志文 件 


客户 端 证 书 验证 失败 的 日 志 记 录 是 一 个 安全 通道 事件 ， 默 认 情 况 下 ， 在 IAS 服务 
器 上 处 于 未 启用 状态 。 将 以 下 注册 表 项 值 从 “1”(“REG DWORD ”类 型 ， 数 据 
“0x00000001”) 更 改 为 “3”(“REG_DWORD” 类 型 数据“0x00000003”)， 可 以 启用 


其 他 安全 通道 事件 : HKEY LOCAL MACHINE\SYSTEM\CurrentControlSet\Control\ 
SecurityProviders\SCHANNEL\EventLogging 


至 此 ,“ 远 程 访问 记录 ”配置 完成 。 
8. 配置 “远程 访问 策略 ” 


新 建 远程 访问 策略 ， 如 图 3-29 所 示 。 


进入 远程 访问 策略 配置 向 导 ， 如 图 3-30 所 示 ， 策 略 名 就 用 好 记 的 字 串 就 可 以 ， 如 
“cisco2100”， 访 问 方法 一 定 要 用 “无 线 ” 如 图 3-31 所 示 。 
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3-29 ”新 建 远 程 访问 策略 


策略 配置 方法 
此 向 导 创 建 典 型 的 策略 ,您 也 可 以 创建 自 定义 的 策略 。 


图 3-30 ”策略 配置 方法 


册 加 台 


认证 技术 


访问 方法 
策略 状况 是 根据 访问 网 络 的 方法 而 定 的 。 


选择 您 想 创建 的 策略 的 访问 方法 。 
广 YENO) 
YPN VPN ， 请 回 到 上 一 页 ， 
最 鱼 刀 本 可 要 创建 特定 的 YPN 类 型 的 策略 ， 请 回 到 上 一 页 ， 选择 
个 拔 叶 四 ) 
用 于 传统 的 电话 线 或 综合 业务 数 宇 网 ISDN 线路 的 拨号 连接 。 


人 无 线 人 0 
只 用 于 无 线 局 域 网 连接 。 


个 以 太 网 双 ) 
用 于 以 太 网 连接 ， 例 如 使 用 交换 机 的 连接 。 


《上 一 步 @)| 下 一 步 中 >| 取消 | 


3-31 访问 方法 


给 所 建 的 组 testl 授予 访问 权限 ， 如 图 3-32 所 示 ， 下 面 设置 身份 验证 方法 , 单 击 “ 配 
置 ” 按 钮 设置 PEAP 的 属性 ， 使 用 EAP-MSCHAP(V2)， 单 击 “ 编 辑 ” 按 钮 ， 身 份 验证 充 
实 次 数 一 般 用 2， 如 图 3-33 所 示 ， 单 击 “ 确 定 ” 按 钮 。 


OEE TT 
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EEIEEETTTTHE | me 四 
用 户 或 租 访 有 @ 
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恨 民 以 下 授 于 访问 相 限 : 
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下 诅 国 EE 
ae 用户 详 可 居 先 组 许可 - 
和 各 到: 
当 加 屿 ..， RW. ma | 
基隆 [EI 
《上 = 步 加 | 下- 二 和 了 
| lel: 


3-32 用户 或 组 访问 
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3-33 ”身份 验证 方法 


如 图 3-34 所 示 ， 单 击 “ 完 成 ”按钮 ， 至 此 远程 访问 策略 设置 
新 建 远程 访问 策略 向 导 - a 
正在 完成 新 建 远 程 访问 策略 向 导 


呵 人 时 入 巧 地 完成 了 新 当 远 程 访问 策 四 向 叶 。 你 和 娃 了 
以 下 策略 
cisco2100 


条 件 : 全 
HAS-Port-Type 匹配 “无 线 - 其 它 OF 无 线 - 
IEEE 802.11” AND 


Windows-Groups 匹配 "ZHANGGC\test1” 


身份 验证 : EAF ( 受 保 护 的 EAP (FEAP)) 


要 关闭 该 向 导 ， 请 单 击 “ 完 成 ”。 


< 上 一步 @)| 完成 | 取消 | 


图 3-34 ”完成 新 建 远程 访问 策略 


9. 配置 “连接 请 求 策 略 ” 
新 建 过 程 如 图 3-35 至 图 3-39 所 示 。 


3-35 ”新 建 连接 请 求 策略 


mm 


策略 配置 方法 
您 可 以 设置 典型 策略 或 自 定义 策略 。 


图 3-36 策略 配置 方法 
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3-37 策略 状况 1 


策略 状况 
为 了 用 此 策略 处 理 ， 连接 请 求 必 须 和 您 指定 的 条 件 匹配 。 


图 3-38 策略 状况 2 
至 此 ， 连 接 请 求 策略 配置 完成 。 
10. 配置 |IS (internet 信息 服务 管理 器 ) 


单 击 “ 开 始 ” 一 “管理 工具 ”一 “Intemet 信息 服务 管理 工具 ”命令 ,打开 IS， 展 
开 “ 网 站 ” 右 击 “ 默 认 网 站 ”， 打 开 默 认 网 站 属性 ， 如 图 3-40 和 图 3-41 所 示 。 


翰 吕 小 


认证 技术 
| 
正在 完成 新 建 连接 请 求 处 理 策略 向 导 


您 已 成 功 完成 了 新 建 连接 请 求 策略 向 导 ， 创建 了 以 下 策 
略 : 


cisco2100_test 


策略 状况 ; 
Client-IP-Address 匹配 “cisco2100_test” 


身份 验证 提供 程序 : Windows 
记 帐 提供 程序 : Windows 


要 关闭 该 向 导 ， 请 单 击 “ 完 成 ”。 


《上 一 步 @)| 完成 | 取消 
图 3-39 完成 新 建 连接 请 求 处 理 策略 


页 Taternet 信息 服务 CIIS) 管 理 器 
和 文件 如 扣 作 W) 查看 WW 窗口 ID 帮助 0 
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筷 副 nmgLAnranfnayk 本 地 让 


Corionirol 


日 加 应 用 程序 洱 Cortinall 
Ei . 四 cesrr 

和 C MIMOrS\systee: 
日 Web 服 di C WIDOWS\syst ona2\hs 


ht 


| [EGE 
打开 当前 选择 的 属性 页 。 


3-40 ” 右 击 “ 默 认 网 站 ” 

在 属性 选项 卡 中 选择 “目录 安全 性 ”选项 卡 ， 在 “身份 验证 和 访问 控制 ”选项 组 中 
单 击 “编辑 ”按钮 进入 “身份 验证 方法 ”对 话 框 ， 如 图 3-42 所 示 。 

不 要 选用 “启用 匿名 访问 ” 在“ 用户 访问 须 经 过 身份 验证 ”对 话 框 中 选中 “windows 
域 服务 器 的 摘要 式 身份 验证 ” 复 选 框 , 在 “领域 ” 栏 中 选择 服务 器 的 根 域 , 如 zhanggc.com， 
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以 后 就 依次 单 击 “ 确 定 ” 按 钮 ， 此 属性 选项 卡 中 的 其 他 卡 项 都 可 以 保持 默认 设置 。 至 此 
IIS 设置 完毕 。 


Es| 
目录 安全 性 | GTP 头 | 自 定义 错误 | 
网 | 性 能 | IsSApT 第 先 器 | 主 上 录 | 文档 
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ww: po sow: | 


连接 超时 QD ; 120 起 
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活动 日 志 格式 WD; 
ac 扩展 日 志文 件 格式 了 属性 外. | 


确定 | 取消 [S| 帮助 
图 3-41 默认 网 站 属性 
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3-42 ”身份 验证 方法 


在 设置 完毕 AD、 IAS 和 IIS 这 3 个 部 件 后 , RADIUS Server 端的 设置 算是 大 功 告 成 ， 


第 
各 
章 


认证 技术 


如 果 想 随时 看 客户 端 验证 过 程 的 记录 信息 ， 可 以 看 远程 访问 记录 ， 记 录 文 档 默 认 放 在 
Ci\WINDOWS\system32\LogFiles 中 ， 其 中 保存 有 验证 信息 ， 如 图 3-43 所 示 。 


EECTEOETOEEEE3 
Er 
[2) 27 ,11 ,126, 154192, 
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图 3-43 ”远程 访问 记录 


还 可 以 按 以 下 方式 打开 : 右 击 桌 面 的 “我 的 电脑 ”图 标 ， 选 择 “ 管 理 ” 命 令 ， 打 开 
“计算 机 管理 ”窗口 ， 展 开 “ 系 统 工具 ”中 的 “事件 查看 器 ”， 单 击 “ 系 统 ” 项 ， 可 以 查 
看 客户 端 验证 过 程 的 信息 ， 如 图 3-44 所 示 。 
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第 4 章 安全 协议 


本 章 学 习 重点 : 

。 传输 控制 协议 (TCP) 和 网 际 协 议 ( 卫 ) 在 网 络 中 的 作用 

。 TCP/IP 协议 徐 中 的 重要 协议 及 工作 原理 

。 TCP/IP 数据 包 格 式 

。 通过 IPSec 增强 网 络 安全 性 

。 安全 协议 介绍 

众多 计算 机 网 络 , 包括 Intemet 本 身 都 是 通过 TCP/IP 协议 进行 交互 。, TCP/IP 协议 中 ， 
最 为 关键 的 两 个 组 件 一 一 传输 控制 协议 CTCP) 和 网 际 协议 (IP)， 控 制 着 网 络 上 端口 与 
端口 之 间 网 络 数据 的 格式 与 路 由 。 本 章 重点 论述 TCP/IP， 因 为 TCP/IP 是 最 为 通用 的 通 
信 协 议 ， 因 而 也 必然 存在 大 量 安全 漏洞 。 


4.1) TCP/IP 工作 原理 


TCP/IP 协议 并 不 完全 符合 OSI 的 七 层 参考 模型 ， 其 采用 了 4 层 的 层次 结构 ， 其 中 每 
一 层 执行 一 特定 任务 。 该 模型 的 目的 是 使 硬件 在 相同 的 层次 上 相互 通信 ， 每 一 层 都 由 下 
一 层 提 供 的 服务 完成 本 层 的 需求 ， 并 向 上 一 层 提 供 服务 。 这 4 层 分 别 为 应 用 层 、 传 输 层 、 
网 络 层 、 网 络 接口 层 。 图 4-1 给 出 了 OSI 体系 结构 和 TCP/IP 体系 结构 的 对 应 关系 。 
OSI 的 体系 结构 “。 TCP/P 的 体系 结构 


应 用 层 | 应 用 层 (各 种 应 用 赂 
6 表示 层 协议 ， 如 SMIPP， 
5 会 话 层 TELNET，FTP 等 ) 
4 传输 层 传输 层 (UDP 或 TCP 
3 网 络 层 网 际 导 IP 
2 数据 链 路 层 
站 物理 忆 网 络 接口 层 

(a) (b) 


图 4-1 OSI 体系 结构 和 TCP/IP 体系 结构 


口 应 用 层 ”体系 结构 的 最 高 层 ， 应 用 层 直接 为 用 户 的 应 用 进程 提供 服务 。 这 一 层 

的 协议 包括 简单 邮件 传输 协议 (SMTP )、 文 件 传输 协议 (FTP )、 网 络 远程 访问 

协议 (Telnet) 等 。 

口 传输 层 这 一 层 负 责 向 两 个 主机 的 进程 之 间 的 通信 提供 服务 ， 主 要 功能 是 数据 
格式 化 、 数 据 确认 和 丢失 重 传 等 。 这 一 层 的 协议 包括 传输 控制 协议 (TCP )、 用 
户 数据 报 协议 (UDP )。 

口 网 络 层 负责 为 不 同 主机 之 间 提 供 基本 的 数据 封包 传送 功能 ， 通 过 路 由 选择 功 
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能 使 得 每 一 个 数据 包 都 能 准确 到 达 目的 主机 (但 不 检查 是 否 被 正确 接收 )。 这 一 
层 的 协议 主要 是 网 际 协议 (IP)。 
口 网 络 接口 层 (主机 一 网 络 层 ) 从 网 络 上 接收 物理 帧 ， 并 从 帧 中 抽取 IP 数据 报 
转交 给 网 络 层 ， 或 者 将 从 网 络 层 接收 的 数据 包 从 过 物理 网 络 发 送 ， 同 时 定义 如 
何 使 用 实际 网 络 ( 如 Ethernet、Serial Line 等 ) 来 传送 数据 。 
图 4-2 给 出 了 TCP/IP 中 数据 的 流动 过 程 。 假 设 主机 A 的 应 用 进程 Pi 与 主机 B 的 应 
用 进程 P: 进行 通信 , 主机 A 首先 将 应 用 程序 数据 交 给 本 机 的 应 用 层 , 在 应 用 层 加 上 应 用 
层 头 部 〈 头 部 中 包含 了 必要 的 控制 信息 ) 构成 下 一 层 的 数据 单元 ， 然 后 向 下 传递 给 传输 
层 。 传 输 层 收 到 上 一 层 数据 后 ， 加 上 本 层 的 头 部 构成 下 一 层 的 数据 单元 ， 然 后 向 下 传递 
给 网 络 层 。 以 此 类 推 ， 数 据 到 达 物 理 层 之 后 ， 以 比特 流 的 形式 在 物理 层 上 进行 传播 。 当 
比特 流 经 过 网 络 传播 到 达 主机 B 时 ， 就 从 最 底层 向 上 传播 至 应 用 层 。 每 一 层 根据 控制 信 
息 进 行 必要 的 操作 ， 然 后 将 控制 信息 剥 去 ， 将 该 层 剩 下 的 数据 单元 上 交 给 更 高 一 层 。 最 
后 ， 把 应 用 进程 P 发 送 的 数据 交 给 目的 主机 的 应 用 进程 P。 


主机 A 主机 B 
应 用 程 
y 序数 据 || 瑟 
应 用 层 有 数据 应 用 层 
传输 层 传 给 时 数据 传输 层 
网 络 层 由 数据 网 络 层 
网 络 接 | [ 同 络 接口 天 所 网 络 接 
口 层 屋 头 部 口 层 


L9 一 物理 信道 。 一 至 


4-2 TCP/IP 工作 原理 


TCP/IP 协议 
TCP/IP 协议 中 的 4 种 核心 协议 是 网 际 协议 (IP)、 传 输 控制 协议 (TCP)、 用 户 数 据 
报 协议 (UDP)〉 和 控制 报 文 协议 (ICMP)， 这 4 种 协议 是 TCP/IP 网 络 通信 的 基础 。 


1. IP 协议 


网 际 协议 在 TCP/IP 中 为 数据 包 提供 路 由 功能 , 每 个 连接 网 络 的 终端 设备 都 有 唯一 的 
IP 来 标识 自己 。 

卫 协议 也 规定 网 络 设备 该 如 何 处 理 接收 的 数据 包 , 每 一 个 人 P 数据 包 内 都 含有 一 个 目 
的 卫 和 源 了 瑟 。 当 网 络 设备 接收 到 数据 包 时 ， 首 先 检查 数据 包 的 目的 了 王 是 否 与 自己 的 了? 
一 致 ， 如 果 一 致 ， 就 在 本 地 运行 数据 包 ; 如 果 不 一 致 ， 就 要 决定 数据 包 下 一 跳 的 位 置 以 
便于 其 到 达 目 的 地 ， 卫 协议 就 是 保证 系统 能 够 有 效 地 决定 下 一 跳 的 位 置 使 得 所 有 的 网 络 
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流量 都 可 以 到 达 目 的 地 址 。 

也 协议 的 另 一 个 作用 是 数据 包 分 段 。 网 络 中 的 数据 包 ， 在 从 其 源 地 址 到 目的 地 址 的 
途中 ， 会 通过 很 多 具有 不 同 拓扑 结构 的 中 间 网 络 ， 每 个 中 间 网 络 允许 的 最 大 数据 包 的 长 
度 是 不 一 样 的 , 所 以 了 P 协议 就 必须 通过 分 段 来 保证 数据 包 在 到 达 目 的 地 前 能 满足 各 个 网 
络 的 最 大 长 度 的 限制 。 如 果 一 个 网 络 接收 到 了 一 个 比 它 最 大 长 度 还 要 长 的 数据 包 ， 人 P 协 
议 就 可 以 将 这 个 数据 包 分 成 两 个 或 两 个 以 上 的 段落 。 

2. 传输 控制 协议 TCP) 


TCP 为 网 络 提供 可 靠 的 端 到 端 通信 ， 运 行 在 全 之 上 。 

TCP 有 以 下 3 个 核心 功能 。 

(1) TCP 是 一 个 可 靠 的 端 到 端 传输 协议 ， 当 一 个 系统 成 功 地 收 到 数据 包 的 时 候 ， 会 
反馈 一 个 确认 报 文 表 示 。 

(2) TCP 提供 差错 检测 ， 每 一 个 数据 包 都 包含 一 个 校 验 和 ， 当 接收 方 接 到 数据 包 后 
会 使 用 这 个 校 验 和 来 验证 该 数据 包 是 否 在 传输 过 程 中 被 更 改 。 如 果 校 验 和 与 数据 不 匹配 ， 
那么 接收 方 就 会 要 求 发 送 方 重新 发 送 。 

(3) TCP 是 面向 连接 的 ， 每 次 通信 前 ， 通 信 的 双方 会 首先 通过 会 话 建立 和 撤销 算法 
在 两 者 之 间 建 立 专用 的 信道 。 

TCP 保证 数据 完整 ， 无 损 并 按 顺 序 到 达 ， 同 时 其 不 断 的 测试 网 络 的 负载 来 控制 数据 
发 送 的 数据 。 但 在 高 丢 包 率 或 要 求实 时 的 网 络 中 ，TCP 的 这 些 特点 可 能 会 成 为 其 短 板 。 


3. 用 户 数据 报 协议 CUDP) 


UDP 协议 是 一 个 面向 无 连接 的 数据 包 协 议 ， 与 TCP 工作 在 一 个 层 ， 是 一 个 不 可 靠 
的 协议 。UDP 不 检查 数据 是 否 到 达 目 的 地 ， 相 对 于 TCP，UDP 协议 不 能 保证 数据 按 顺 
序 到 达 ， 所 以 其 更 适合 一 些 实时 、 高 速 的 网 络 。 


4. 控制 报 文 协议 (ICMP) 


为 了 提高 卫 数据 包 交 付 成 功 的 机 会 ， 互 联网 在 网 络 层 使 用 ICMP 协议 。ICMP 允许 
主机 或 路 由 器 报告 差错 情况 和 有 关 异 常情 况 。ICMP 是 他 层 的 协议 ，ICMP 报 文 作为 人 P 
层 数 据 包 的 数据 ， 加 上 数据 包 的 首部 ， 组 成 他 分 组 发 送出 去 。 


42) TCP/IP 协议 安全 


TCP/IP 网 络 内 部 存在 着 大 量 的 安全 漏洞 。 众所周知 ,TCP/IP 最 初 是 为 部 分 相互 信任 
的 计算 机 之 间 的 通信 而 设计 的 ， 所 以 在 设计 之 初 并 未 考虑 安全 问题 ， 随 着 网 络 规模 的 扩 
大 ， 安 全 问题 日 益 突 显 。 

安全 专家 们 在 架构 中 加 入 了 大 量 的 安全 机 制 ， 这 些 安全 协议 在 协议 框架 里 工作 的 位 
置 如 下 列 所 示 。 

应 用 层 安全 一 一 S/MIME、Web 安全 、SET、Kerberos 

传输 层 安全 一 一 SSL、TLS 
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网 络 层 安全 一 一 IPSec、VPNs 
链 路 层 安全 一 一 PPP、RADIUS 


®--42.1 S/MIME -, 

S/MIME (Secure/Multipurpose Intemet Mail Extensions) 是 多 用 途 网 络 邮件 扩充 协议 
(MIME) 的 扩充 ， 其 中 加 入 了 数字 签名 并 对 邮件 内 容 进行 了 加 密 。 在 S/MIME 之 前 ， 广 
泛 接受 的 电子 邮件 协议 是 SMTP (Simple Mail Transfer Protocol,， 简单 邮件 传输 协议 )。 由 
于 SMTP 内 在 的 原因 (其 开发 的 最 初 目 的 是 在 封闭 的 网 络 中 传送 相对 来 说 不 太 重 要 的 简 
短 邮件 ， 而 不 是 为 了 在 互联 网 中 传送 重要 而 敏感 的 信息 〉 而 缺乏 安全 性 ， 或 者 需要 使 用 
更 安全 且 专 用 的 解决 方案 ， 但 选择 解决 方案 时 或 者 着 眼 于 安全 性 ， 或 者 着 眼 于 连接 性 。 
而 使 用 S/MIME 时 ， 则 可 选择 使 用 既 安 全 又 被 广泛 接受 的 电子 邮件 。 

MIME 协议 是 一 个 网 络 通信 协议 ， 用 于 规范 多 媒体 数据 的 传输 ， 包 括 图 片 、 音 频 和 
视频 。 在 RCF1521 中 对 其 有 详细 介绍 。 当 Web 站 点 将 文件 发 送 给 客户 端 浏览 器 的 时 候 ， 
就 会 在 文档 前 面 加 上 MIME 头 ， 然 后 进行 传输 。 整 个 文件 包含 两 部 分 : 头 部 和 身体 。 对 
于 头 部 来 说 ， 又 分 为 两 个 部 分 : MIME type 和 subtype。MIME type 描述 给 该 文档 要 传输 
的 内 容 的 类 型 ， 如 图 像 、 文 本 、 音 频 、 引 用 程序 等 ， 而 subtype 就 是 具体 的 文件 类 型 ， 
如 jpeg、gif、ti 纤 等 。 

S/MIME 就 是 在 MIME 的 基础 上 增加 了 安全 服务 一 一 加 密 和 数字 证 书 。 加 密 提 供 了 
3 种 加 密 算法 (Diffie-Hallman、RSA、 三 层 DES) 进行 会 话 密 钥 的 加 密 ， 创 建 数 字 证 书 
的 时 候 ，S/MIME 会 使 用 160 位 的 SHA-1 或 MD5 等 Hash 函数 来 生成 消息 摘要 ， 并 使 用 
DSS 或 RSA 对 消息 摘要 进行 加 密 而 形成 数字 证 书 。 

S/MIME 是 与 SMTP 同样 重要 的 一 个 标准 ， 因 为 它 将 SMTP 带 入 了 一 个 新 的 层 
次 : 既 能 实现 广泛 的 电子 邮件 连接 性 ， 又 不 会 破坏 安全 性 。 


1. S/MIME 的 历史 


1995 年 ， 众 多 安全 供应 商 于 开发 出 了 年 第 一 版 S/MIME。 当时， 安全 邮件 并 没有 公 
认 的 单一 标准 ， 只 有 几 个 相互 竞争 的 标准 。 第 一 版 S/MIME 是 实现 邮件 安全 性 的 几 个 规 
范 之 一 ， 其 他 的 规范 如 Pretty Good Privacy (PGP)， 是 实现 邮件 安全 性 的 另 一 个 规范 。 

1998 年 ， 第 2 版 SIMINE ( 即 S/MIME 2) 开始 推出 。 与 版 本 1 不 同 的 是 ， 基 于 希 
望 成 为 Intemet 标准 的 考虑 ，S/MIME 2 被 提交 到 Internet 工程 任务 组 (IETF)。 因 而 ， 
S/MIME 从 众多 可 能 的 标准 中 脱颖而出 ， 从 而 成 为 邮件 安全 标准 的 领跑 者 。S/MIME 2 
由 两 份 IETF 征求 意见 文档 (RFC) 组 成 。 

(1) 建立 邮件 标准 的 RFC 2311 (http://www.ietf.org/rfe/rfc2311.txt)。 

(2) 建立 证 书 处 理 标准 的 RFC 2312 (http://www.ietf.org/rfc/rfc2312.txt)。 

这 两 份 征求 意见 文档 共同 提供 了 第 一 个 基于 Intemet 标准 的 框架 ， 供 应 商 可 以 按照 
该 框架 来 提出 可 互 操 作 的 邮件 安全 解决 方案 。 从 此 , S/MIME 开始 成 为 邮件 安全 的 标准 。 

1999 年 , 为 了 增强 S/MIME 的 功能 , IETF 提议 使 用 S/MIME 版 本 3。 在 RFC 2311 
基础 上 , 建立 了 RFC 2632 (http://www.ietf.org/rfc/rfc2632.txt), 指定 S/MIME 邮件 的 标准 ; 
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而 RFC 2633 (http://www.ietf.org/rfe/rfc2633.txt) 增强 了 证 书 处 理 的 RFC 2312 规范 ;，RFC 
2634 (http://www.ietf.org/rfc/fc2634.txt) 通 过 向 S/MIME 添加 其 他 服务 扩展 了 总 体 功 能 ， 
如 安全 回执 、 三 层 包 装 和 安全 标签 等 。 

目前 ，S/MIME 版 本 3 已 被 广泛 接受 为 邮件 安全 标准 。 下 列 Microsoft 产品 可 支持 
S/MIME 版 本 3。 

口 Microsoft Outlook@ 2000 (应 用 了 SR-1 ) 及 更 高 版 本 。 

口 Microsoft Outlook Express 5.01 及 更 高 版 本 。 

口 Microsoft Exchange 5.5 及 更 高 版 本 。 

Microsoft Outlook 的 电子 邮件 的 安全 设置 如 图 4-3 和 图 4-4 所 示 。 
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中 上 回 加 密 待 发 邮件 的 内 容 和 附件 


上 个 人 信息 话机 站 
回 约 生 发 邮件 添加 数字 答 (D) 
| 0 
I 回 对 所 有 S/MIME 签名 邮件 要 求 S/MIME 回执 (R) 
冯 安 全 性 


| 一 
| 数字 标识 或 证 书 星 一 种 可 让 和 您 在 电子 商务 中 证 实 身 份 的 文档 。 


4-3 Microsoft Outlook 中 的 电子 邮件 安全 选项 


加 密 电 子 闻 件 
加 载 项 
个 WE 语 加 pe 
有 四 发 邮件 添加 数字 签名 | 
Le MasHD 
附件 处 理 


辐 对 所 有 S/MIME 签名 邮件 要 求 S/MIME 回执 (R) 


中 | 生动 下 载 
中 

安全 设置 首选 参数 
中 篇 得 访问 安全 设置 名 称 6) 


| 加密 格式 玫 ): [Sam 
回 该 康 全 邮件 格式 的 味 认 加 密 设置 加) 
所 有 安全 邮件 的 默认 加 密 设 置 1) 
WR 
中 证 书 和 算法 


国 将 证 书 与 签名 邮件 一 同 帮 送 E) 


[| 己 了 


图 4-4 Microsoft Outlook 中 的 电子 邮件 设置 加 密 格式 和 证 书 
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2. S/MIME 的 功能 


S/MIME 提供 两 种 安全 服务 一 一 邮件 加 密 和 数字 签名 ， 即 通过 加 密 来 保护 电子 邮件 
的 内 容 ， 使 用 数字 签名 来 验证 电子 邮件 发 件 人 的 身份 。 

邮件 加 密 和 数字 签名 是 基于 S/MIME 的 邮件 安全 的 核心 , 与 邮件 安全 有 关 的 其 他 所 
有 概念 都 支持 这 两 种 服务 。 在 整个 邮件 安全 领域 ， 可 能 看 上 去 很 复杂 ， 但 是 这 两 种 服务 
却 是 邮件 安全 的 基础 。 

邮件 加 密 和 数字 签名 的 实现 都 是 依靠 公 钥 基 础 设施 (PKI) 的 。 通 过 PKI 颁发 证 书 ， 
使 用 证 书 通 过 目录 访问 ， 实 现 邮 件 加 密 和 数字 证 书 。PKI 主要 利用 了 公 钥 加 密 ， 简 化 了 
密 钥 的 管理 。 公 钥 加 密 中 用 到 了 两 种 加 密 :@ 对 称 加 密 (加 密 和 解密 用 的 是 同一 把 钥匙); 
@ 非 对 称 加 密 ， 加 密 和 解密 用 的 是 一 对 密 钥 ， 一 个 称 为 公 钥 ， 另 一 个 称 为 私 钥 ， 私 钥 是 
保密 的 ， 它 只 能 由 一 方 保存 ， 公 钥 是 公开 的 ， 它 可 以 广泛 共享 。 密 钥 对 在 加 密 和 解密 过 
程 中 相互 配合 使 用 ， 且 每 个 密 钥 都 只 能 与 密 钥 对 中 的 另 一 个 密 钥 配 合 使 用 。 

在 邮件 收发 过 程 中 ， 因 为 收发 双方 是 基于 特定 的 操作 而 需要 另 一 方 的 公 钥 或 私 钥 ， 
如 发 件 人 用 收 件 人 的 公 钥 对 电子 邮件 进行 加 密 ， 那 么 电子 邮件 接收 方 必须 用 自己 的 私 钥 
对 邮件 进行 解密 ;发 件 人 用 自己 的 私 钥 对 电子 邮 进行 数字 签名 ， 那 么 电子 邮件 接收 方 必 
须 用 发 件 人 的 公 钥 进行 解密 ， 二 者 关系 分 别 见 表 4-1。 

表 4-1 电子 邮件 收发 双方 的 关系 


发 件 人 持 有 收 件 人 持 有 
邮件 加 密 收 件 人 公 钥 收 件 人 私 钥 
数字 签名 发 件 人 私 钥 发 件 人 公 钥 


S/MIME 中 ， 邮 件 加 密 和 数字 签名 这 两 项 服务 的 实现 原理 如 下 。 

(1) 邮件 加 密 

邮件 加 密 提供 了 针对 信息 泄露 的 解决 方案 。 电 子 邮 件 有 可 能 在 传送 的 过 程 中 或 存储 
的 位 置 泄露 其 内 容 ， S/MIME 拥有 保密 性 和 数据 完整 性 这 两 项 安全 服务 ， 它 通过 加 密 的 
方式 来 解决 这 些 问 题 。 电 子 邮件 实现 加 密 的 原理 如 图 4-5 所 示 。 

(2) 邮件 数字 签名 

数字 签名 就 像 是 具有 法 律 意义 的 传统 签名 的 数字 化 形式 。S/MIME 的 数字 签名 提供 
的 安全 服务 功能 有 身份 验证 、 认 可 性 和 数据 完整 性 。 实 现 电子 邮件 数字 签名 的 原理 如 图 
4-6 所 示 。 


-2:2=Web: 安 全 -、 


Netscape 公司 提出 了 SSL 的 服务 来 增加 应 用 层 协 议 中 的 保密 性 ， 完 整 性 与 可 靠 性 ， 
其 主要 用 于 提升 Web 客户 机 与 服务 器 之 间 的 安全 性 。Web 浏览 器 普遍 将 HITP 和 SSL 
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相 结 合 ， 从 而 实现 安全 通信 ， 可 以 看 到 ,使 用 了 SSL 的 Web 站 点 前 缀 为 https://， 这 个 是 


HTTP 与 SSL 结合 后 的 缩写 。 


介绍 。 


SSL 是 用 于 解决 系统 之 


SSL 后 来 演变 成 TLS 标准 ， 在 RFC2246 中 对 其 有 详细 的 


捕获 邮件 检索 收 件 生成 一 次 用 会 话 密 钥 
正文 一 | 人 公 铀 一 “| 性 会 话 密 钥 加 密 邮件 正文 
用 收 件 人 公 钥 | | 将 会 话 密 钢 附 | | ，， 
加 密会 话 密 钥 加 到 加 密 邮件 发 送 邮件 
检索 加 密 邮件 检索 
接收 邮件 | 一 | 正文 和 会 话 窗 角 一 | 收 件 人 私 钥 
用 收 件 人 私 铀 用 解密 的 会 话 将 解密 邮件 
解密 会 话 密 钥 密 钥 解密 邮件 正文 返回 给 收 件 人 
4-5 ”电子 邮件 加 密 原 理 
捕获 邮件 | __。 | 计算 邮件 | _ _。 | 。 检索 
正文 的 哈 希 值 发 件 人 私 钥 
用 发 件 人 私 钥 | | 附加 加 密 | 。 
加 密 哈 .| 的 哈 希 什 | ear 
检索 加 密 检索 计算 邮件 
一 | 一 | 的 哈 希 值 
用 发 件 人 的 公 要 
检索 件 人 的 比较 解密 的 哈 希 值 验证 
发 件 人 公 钥 ~ 和 计算 的 哈 希 什 一 | 签名 邮件 


4-6 电子 邮件 数字 签名 原理 


司 数字 证 书 传输 问题 的 ， 在 通信 开始 时 ， 服 务 器 必须 先 给 客 
户 端 发 送 一 个 数字 证 书 来 提供 公 钥 并 认证 其 身份 ， 当 客户 端 认 可 了 证 书 的 真实 性 后 ， 双 
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方才 会 通过 解密 数据 进行 通信 。 有 时 ，SSL 也 会 允许 进行 双向 认证 。 
2. HTTP-S 


与 SSL 一 样 ，HTTP-S 也 为 Web 服务 提供 保密 性 ， 完 整 性 和 可 靠 性 的 安全 服务 ， 两 
者 的 不 同 主要 表现 以 下 几 个 方面 。 

(1) SSL 是 一 个 面向 连接 的 协议 (用 于 为 两 个 实体 之 间 提 供认 证 、 数 据 的 保密 性 和 
完整 性 服务 )， 而 HTTP-S 是 一 个 面向 无 连接 的 协议 。 

(2) HTTP-S 为 HTTP 客户 机 和 服务 器 提供 多 种 安全 机 制 ， 适 用 于 各 类 潜在 的 用 户 。 

(3) SSL 工作 在 会 话 层 和 传输 层 ， 而 HTTP-S 工作 在 应 用 层 。 

在 描述 Web 安全 方面 ,术语 的 使 用 是 有 些 容易 让 人 混淆 的 ，HTTP 站 点 加 入 SSL 以 
后 ， 缩 写 改 为 “https”， 而 secure-HTTP 也 缩写 为 HTTP-S。 


电子 商务 在 给 商家 和 消费 者 提供 机 遇 和 便利 的 同时 ， 也 面临 着 巨大 的 挑战 ， 即 交易 
的 安全 问题 。 在 电子 交易 的 环境 中 ， 消 费 者 希望 在 交易 中 保密 自己 的 账户 信息 而 被 人 窃 
取 ; 网 上 商家 则 希望 客户 的 定单 不 可 抵赖 ， 并 且 ， 在 交易 过 程 中 ， 交 易 各 方 都 希望 验 明 
对 方 的 身份 ， 以 防止 上 当 受 骗 。 

为 了 实现 更 加 完善 的 即时 电子 支付 ，SET 协议 (Secure Electronic Transaction， 安 全 
电子 交易 协议 ) 应 运 而 生 。SET 是 由 Visa、Microsoft、 IBM、RSA、Netscape、MasterCard 
等 公司 开发 出 的 加 密 协 议 。SET 协议 非常 复杂 ， 描 述 了 交易 各 方 之 间 的 关系 ， 它 对 信息 
格式 、 加 密 方式 、 交 易 流程 等 进行 了 详尽 的 定义 。SET 不 仅 是 一 个 技术 协议 ， 而 且 还 规 
定 了 各 方 的 数字 证 书 的 含义 、 响 应 动作 以 及 与 交易 相关 的 责任 认定 。 SET 协议 是 B2C 上 
基于 信用 卡 支付 模式 而 设计 的 ， 保 证 了 开放 网 络 上 使 用 信用 卡 进行 网 上 购物 的 安全 ， 它 
具有 的 保证 交易 数据 的 完整 性 、 交 易 的 不 可 抵赖 性 等 优点 ， 因 此 已 经 成 为 目前 公认 的 信 
用 卡 网 上 交易 的 国际 标准 。 在 每 一 次 交易 中 ，SET 提供 了 4 种 服务 : 可靠 性 、 保 密 性 、 
信息 完整 性 和 可 控 性 。 

口 可 靠 性 指 在 交易 过 程 中 确保 每 一 方 身份 的 正确 性 ， 包 括 客户 、 商 人 、 银 行 等 。 

采用 公 角 密码 体制 和 XX.509 数字 证 书 标准 。 

口 保密 性 ”指使 用 DES 加 密 所 有 的 交易 过 程 ， 防 止 入 侵 者 得 到 交易 过 程 中 的 任何 
数据 。 

口 完整 性 ”在 加 密 信息 里 加 入 消息 摘要 ， 防 止 任何 形式 的 更 改 。 

口 可 控 性 ”允许 交易 买方 在 不 知道 附件 内 容 的 情况 下 也 能 够 验证 附件 的 正确 性 ， 

这 对 保护 内 容 保 密 性 起 到 了 重要 作用 .。 


1. SET 协议 的 主要 目标 和 提供 的 服务 


SET 协议 的 主要 目 如 下 。 
(1) 防止 交易 信息 、 上 账户 信 息 等 被 非法 用 户 窃 取 ， 保 证 信息 在 互联 网 上 传输 的 安 
全 性 。 
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(2) 使 用 了 一 种 双 签 名 技术 保证 电子 商务 参与 者 信息 的 相互 隔离 。 客 户 的 资料 加 密 
后 通过 商家 到 达 银 行 ， 但 是 商家 不 能 看 到 客户 的 账户 与 密码 信息 。 

(3) 解决 多 方 认 证 问题 。 不 仅 对 消费 者 的 信用 卡 认 证 ， 而 且 要 对 在 线 商 家 认证 ， 实 
现 消费 者 、 商 家 和 银行 间 的 相互 认证 。 

(4) 保证 网 上 交易 的 实时 性 ， 使 所 有 的 支付 过 程 都 是 在 线 实时 的 。 

(5) 提供 一 个 开放 式 的 标准 ， 规 范 协 议和 消息 格式 ， 促 使 不 同 厂家 开发 的 软件 具有 
兼容 性 和 互 操作 功能 。 可 在 不 同 的 软 硬 件 平台 上 执行 并 被 全 球 广泛 接受 。 

SET 提供 的 服务 如 下 。 

SET 协议 为 电子 交易 提供 了 许多 保证 安全 的 措施 。 它 能 保证 电子 交易 的 机 密 性 、 数 
据 完整 性 、 交 易 行为 的 不 可 否认 性 和 身份 的 合法 性 。SET 协议 设计 的 证 书 中 包括 银行 证 
书 及 发 卡 机 构 证 书 、 支 付 网 关 证 书 和 商家 证 书 。 

(1) 保证 客户 交易 信息 的 保密 性 和 完整 性 

SET 协议 采用 了 双重 签名 技术 对 SET 交易 过 程 中 消费 者 的 支付 信息 和 订单 信息 分 别 
签名 ， 使 得 商家 看 不 到 支付 信息 ， 只 能 接收 用 户 的 订单 信息 ;而 金融 机 构 看 不 到 交易 内 
容 ， 只 能 接收 到 用 户 支付 信息 和 账户 信息 ， 从 而 充分 保证 了 消费 者 账户 和 定购 信息 的 安 
全 性 。 

(2) 确保 商家 和 客户 交易 行为 的 不 可 否认 性 

SET 协议 的 重点 就 是 确保 商家 和 客户 的 身份 认证 和 交易 行为 的 不 可 否认 性 。 其 理论 
基础 就 是 不 可 否认 机 制 ， 采 用 的 核心 技术 包括 X.509 数字 证 书 标准 、 数 字 签 名 、 报 文摘 
要 、 双 重 签名 等 技术 。 

(3) 确保 商家 和 客户 的 合法 性 

SET 协议 使 用 数字 证 书 对 交易 各 方 的 合法 性 进行 验证 。 通 过 数字 证 书 的 验证 ， 可 以 
确保 交易 中 的 商家 和 客户 都 是 合法 的 、 可 信赖 的 。 


2. SET 协议 的 购物 流程 实例 


SET 交易 过 程 中 要 对 商家 、 客 户 、 支 付 网 关 等 交易 各 方 进行 身份 认证 ， 因 此 它 的 交 
易 过 程 相对 复杂 ， 如 图 4-7 所 示 。 

(1) 持 卡 客户 在 网 上 商家 看 中 商品 后 ， 和 商家 进行 协商 ， 然 后 发 出 请 求购 买 信息 。 

(2) 商家 要 求 客 户 用 电子 银行 付款 。 

(3) 电子 银行 提示 客户 输入 密码 后 与 商家 交换 握手 信息 ， 确 认 商 家 和 客户 两 端 均 
合法 。 

(4) 客户 的 电子 银行 形成 一 个 包含 订购 信息 与 支付 指令 的 报 文 发 送 给 商家 。 

(5) 商家 将 含有 客户 支付 指令 的 信息 发 送 给 支付 网 关 。 

(6) 支付 网 关 在 确认 客户 信用 卡 信息 之 后 ， 向 商家 发 送 一 个 授权 响应 的 报 文 。 

(7) 商家 向 客户 的 电子 银行 发 送 一 个 确认 信息 。 

(8) 将 款项 从 客户 账号 转 到 商家 账号 ， 然 后 向 顾客 送 货 ， 交 易 结束 。 

从 上 面 的 交易 流程 可 以 看 出 ，SET 交易 过 程 十 分 复杂 性 ,在 完成 一 次 SET 协议 交易 
过 程 中 ， 需 验证 电子 证 书 9 次 ， 验 证 数字 签名 6 次 ， 传 递 证 书 7 次 ， 进 行 签名 5 次 ，4 
次 对 称 加 密 和 非 对 称 加 密 。 根 据 不 同 地 方 的 网 络 设施 情况 ， 通 常 完成 一 个 SET 协议 交易 
过 程 大 约 要 花费 几 分 钟 甚至 更 长 时 间 。 
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4-7 SET 的 购物 流程 实例 图 


© -4.2.4 传输 层 安全 -~ 
传输 层 安 全 (TLS，Transport Layer Security) 是 IETF 将 提升 Web 站 点 的 安全 方法 
进行 标准 化 的 结果 , 在 RFC2236 中 进行 了 详细 的 介绍 ， 负 责 保护 应 用 程序 通信 过 程 中 传 
输 层 的 安全 性 和 数据 完整 性 。 实 际 上 TLS1.0 是 从 SSL3.0 中 演变 而 来 的 。 目 前 ， 最 新 版 
本 是 RFC 5246， 版 本 1.2。 从 技术 上 讲 ，TLS1.0 与 SSL3.0 的 差异 非常 微小 。 
与 SSL 相 比 ，TLS 做 了 以 下 改进 。 
口 互 操作 性 一 方 在 不 知道 对 方 TLS 设备 细节 的 情况 下 ， 也 可 以 自由 的 进行 TLS 
的 参数 交换 。 
口 可 扩展 性 可 以 方便 地 扩展 和 调整 新 的 协议 。 
TLS 利用 密 钥 算 法 在 互联 网 上 提供 端点 身份 认证 与 通信 保密 ， 其 基础 是 公 钥 基 础 设 
施 (PKI)。 目 前 ， 典 型 的 例子 中 ， 只 有 网 络 服务 者 被 可 靠 身份 验证 ， 而 其 客户 端 则 不 一 
定 。 这 是 由 于 公 钥 基础 设施 普遍 由 商业 运营 ， 且 数字 签名 证 书 相 当 昂 贵 ， 普 通用 户 很 难 
支付 得 起 证 书 。TLS 协议 的 设计 在 某 种 程度 上 能 够 使 主 从 式 架构 应 用 程序 通信 本 身 预 防 
窃听 、 干 扰 、 和 消息 伪造 ， 它 包含 3 个 基本 阶段 。 
(1) 对 等 协商 支援 的 密 钥 算法 。 
(2) 基于 非 对 称 密 钥 的 信息 传输 加 密 和 身份 认证 、 基 于 PKI 证 书 的 身份 认证 。 
(3) 基于 对 称 密 钥 的 数据 传输 保密 。 
TLS 协议 包括 两 个 协议 组 : TLS 记录 协议 和 TLS 握手 协议 , 每 组 具有 很 多 不 同 格 
式 的 信息 。 
(1) TLS 记录 协议 
TLS 记录 协议 是 一 种 分 层 协议 , 每 一 层 中 的 信息 可 能 包含 长 度 、 描 述 和 内 容 等 字段 。 
它 提供 的 连接 安全 性 具有 两 个 基本 特性 。 
口 私有 对 称 加 密 算 法 用 以 数据 加 密 (如 DES 、RC4 等 )。 对 称 加 密 所 产生 的 密 
钥 对 每 个 连接 都 是 唯一 的 ， 且 此 密 钥 基于 另 一 个 协议 ( 如 握手 协议 ) 协商 。 此 
外 ， 记 录 协 议 也 可 以 不 进行 加 密使 用 。 
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口 可 靠 信息 传输 包括 使 用 密 钥 的 MAC 进行 信息 完整 性 检查 。 安 全 哈 希 功能 
(SHA、MD5 等 ) 用 于 MAC 计算 。 记 录 协 议 在 没有 MAC 的 情况 下 也 能 操作 ， 
但 一 般 只 能 用 于 这 种 模式 ， 即 有 另 一 个 协议 正在 使 用 记录 协议 传输 协商 安全 
参数 。 
TLS 记录 协议 用 于 封装 各 种 高 层 协议 。 作 为 这 种 封装 协议 之 一 的 握手 协议 允许 服务 
器 与 客户 机 在 应 用 程序 协议 传输 和 接收 其 第 一 个 数据 字 节 前 彼此 之 间 相互 认证 ， 协 商 加 
密 算法 和 加 密 密 钥 。 
(2) TLS 握手 协议 
TLS 握手 协议 提供 的 连接 安全 具有 3 个 基本 属性 。 
口 可 以 使 用 非 对 称 的 ， 或 公共 密 钥 的 密码 算法 来 认证 对 等 方 的 身份 ， 该 认证 是 可 
选 的 。 
口 共享 加 密 密 钥 的 协商 是 安全 的 ， 协 商 加 密 对 偷窃 者 来 说 是 难以 获取 的 。 
口 协商 是 可 靠 的 。 如 果 没 有 经 过 通信 方 成 员 的 检测 ， 任 何 攻击 者 都 不 能 修改 通信 
协商 。 
TLS 的 最 大 优势 就 在 于 : TLS 独立 于 应 用 协议 , 高 层 协议 可 以 透明 地 分 布 在 TLS 协 
议 上 面 。 但 是 ，TLS 标准 并 没有 规定 应 用 程序 如 何在 TLS 上 增加 安全 性 ， 它 把 如 何 启 动 
TLS 握手 协议 以 及 如 何 解释 交换 的 认证 证 书 的 决定 权 留 给 协议 的 设计 者 和 实施 者 来 
判断 。 


全 -4:2:5 虚拟 专用 网 络 -， 

虚拟 专用 网 (Virtual Private Network，VPN) 指 通 过 公用 网 络 (通常 是 互联 网 ) 建 
立 专用 网 络 实现 安全 通信 目的 技术 。 整 个 VPN 网络 中 任意 两 个 节点 之 间 的 连接 并 没有 传 
统 专 网 所 需 的 端 到 端的 物理 链 路 ， 而 是 架构 在 公用 网 络 服务 商 所 提供 的 网 络 平台 上 ， 用 
户 数据 在 逻辑 链 路 中 传输 ， 如 图 4-8 所 示 。 虚 拟 专用 网 可 以 帮助 远程 用 户 、 公 司 分 支 机 
构 、 商 业 伙伴 及 供应 商 同 公司 的 内 部 网 建立 可 信 的 安全 连接 ， 并 保证 数据 的 安全 传输 。 
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例如 甲 公司 内 某 部 门 员 工 张 三 想 要 与 乙 公司 某 部 门 员工 李 四 进 行 通信 ， 张 三 知道 李 
四 工作 的 具体 部 门 和 公司 地 址 ， 但 是 李 四 工 作 的 具体 部 门 信息 是 不 能 暴露 在 公用 网 络 上 


的 ， 因 此 张 三 会 将 他 要 寄 出 的 信 ( 信 上 注 明 了 李 四 的 具体 部 门 ) 封 装 在 一 个 大 信封 里 ， 
大 信封 上 的 地 址 是 甲 公 司 的 地 址 和 乙 公 司 的 地 址 。 乙 公司 收发 部 门 的 员工 接受 到 信件 后 ， 
进行 拆 封 ， 并 将 里 面 的 邮件 以 公司 内 部 邮件 方式 寄 给 李 四 。 这 种 方法 的 好 处 是 : 邮件 在 
两 个 公司 传输 过 程 中 只 会 暴露 出 两 个 公司 的 地 址 信息 ， 而 不 会 具体 暴露 张 三 与 李 四 的 具 
体 地 址 信息 。 


在 网 络 环境 下 ， 路 由 器 充当 了 收发 部 门 的 角色 ，VPN 的 建立 可 以 在 路 由 器 端 通过 加 


密 来 有 效 隐藏 通信 双方 PP 地 址 等 敏感 信息 ， 从 而 达到 在 不 可 信 的 信道 里 安全 通信 的 


目的 。 


VPN 主要 完成 以 下 工作 。 


口 


口 


口 


IP 加 密 ”包括 把 TCP/IP 的 数据 包 封装 在 另 一 个 数据 包 中 , 然后 在 报头 加 入 到 目 
的 防火 墙 的 路 由 信息 。 

加 密 ” 对 数据 包 的 数据 部 分 进行 加 密 ， 在 传输 模式 下 ， 数 据 在 生成 的 时 候 就 被 
加 密 ， 而 在 隧道 模式 下 ， 数 据 内 容 与 数据 头 都 是 在 传输 的 过 程 中 被 加 密 和 解 
认证 认证 接收 到 的 数据 包 的 真实 性 。 


VPN 的 主要 特点 如 下 。 


口 


口 
口 
口 


安全 保障 ”VPN 通过 建立 一 个 隧道 ， 利 用 加 密 技术 对 传输 数据 进行 加 密 ， 以 保 
证 数据 的 私有 性 和 安全 性 。 

服务 质量 保证 ”根据 不 同 需求 ，VPN 可 以 提供 不 同等 级 的 服务 质量 保证 。 

可 扩充 、 灵 活性 高 VPN 支持 通过 Intemet 和 Extranet 的 任何 类 型 的 数据 流 。 
管理 方便 ”VPN 可 以 从 运营 商 和 用 户 角度 进行 方便 的 管理 。 


实现 VPN 的 主要 技术 如 下 。 


口 


加 | 


加 | 


口 


隧道 技术 ”实现 VPN 的 最 关键 部 分 是 在 公 网 上 建立 虚 信 道 ,而 建立 虚 信 道 是 利 
用 隧道 技术 实现 的 ，IP 隧道 的 建立 可 以 是 在 网 络 层 和 数据 链 路 层 。 

隧道 协议 (Tunneling Protocol) ”隧道 是 利用 一 种 协议 传输 另 一 种 协议 的 技术 ， 
即 用 隧道 协议 来 实现 VPN 功能 。 为 了 创建 隧道 ， 隧 道 的 服务 器 和 客户 机 必须 使 
用 相同 的 隧道 协议 。 

加 解密 技术 ”加 解密 技术 是 目前 数据 通信 中 比较 成 熟 的 技术 ，VPN 可 直接 利用 
现 有 加 解密 算法 实现 加 解密 。 

密 匙 管理 技术 ” 密 是 管理 技术 的 主要 功能 是 如 何在 公用 数据 网 上 安全 地 传递 密 
是 而 不 被 窃取 。 

使 用 者 与 设备 身份 认证 技术 目前 最 常用 的 使 用 者 与 设备 认证 是 使 用 者 名 称 与 
密码 或 卡片 式 认证 等 方式 。 


根据 不 同 的 划分 标准 ， 如 VPN 的 协议 、VPN 的 应 用 、VPN 所 用 的 设备 类 型 等 ， 可 
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以 对 VPN 进行 不 同 的 分 类 ， 见 表 4-2、 表 4-3 和 表 4-4。 


表 4-2 VPN 按 协议 分 类 
按 VPN 的 协议 划分 描述 
PPTP 〈 了 Point to Point 一 种 支持 多 协议 虚拟 专用 网 络 的 网 络 技术 , 是 在 PPP 协议 的 基础 上 开发 的 
Tunneling Protocol, 点 对 ”一 种 新 的 增强 型 安全 协议 , 可 以 通过 密码 身份 验证 协议 (PAP)、 可 扩展 身 
点 隧道 协议 份 验证 协议 (EAP) 等 方法 增强 安全 性 。 它 工作 在 第 二 层 ， 可 以 使 远程 用 
户 通过 拨 入 ISP、 通 过 直接 连接 Internet 或 其 他 网 络 安全 地 访问 企业 网 
L2TP(Layer 2 Tunneling 由 JIETF 起 草 ，Microsoft、Ascend、Cisco、3COM 等 公司 参 予 制定 的 二 层 
Protocol， 第 二 层 隧道 ”隧道 协议 ， 基 于 Microsoft 的 点 对 点 隧道 协议 (PPTP) 和 Cisco 二 层 转发 
协议 ) 协议 (L2F) 之 上 ， 结 合 了 PPTP 和 L2F 两 种 二 层 隧道 协议 的 优点 ， 已 经 
成 为 IETF 有 关 二 层 通道 协议 的 工业 标准 。 它 工作 在 OSI 模型 的 第 二 层 ， 
这 种 虚拟 私有 网 络 可 以 被 因特网 服务 提供 商 和 企业 通过 因特网 使 用 
IPSec (Intemet 协议 安 。 是 一 套 比 较 完整 成 体系 的 VPN 技术 ， 它 规定 了 一 系列 的 协议 标准 ， 是 第 
全 性 ) 三 层 隧道 协议 , 也 是 最 常见 的 协议 。 常见 的 也 Sec VPN 类 型 有 站 到 站 (site 
to site)、easy VPN (远程 访问 VPN)、DMVPN (动态 多 点 VPN)、GET VPN 
(Group Encrypted Transport VPN) 等 


表 4-3 VPN 按 应 用 分 类 


按 VPN 的 应 用 划分 描述 

Access VPN (远程 接 入 VPN) 客户 端 到 网 关 ， 使 用 公 网 作为 骨干 网 在 设备 之 间 传输 VPN 
的 数据 流量 

Intranet VPN (内 联网 VPN) 网 关 到 网 关 , 通过 企业 的 网 络 架构 连接 来 自 相 同 企业 的 资源 

Extranet VPN (外 联网 VPN) 与 合作 伙伴 企业 网 构成 Extranet， 将 一 个 企业 与 男 一 个 企业 
的 资源 进行 连接 


表 4-4 VPN 按 所 用 的 设备 类 型 分 类 
按 VPN 所 用 的 设备 类 型 划分 ”描述 


路 由 器 式 VPN 路 由 器 式 VPN 部 署 相 对 比较 容易 ， 只 要 在 路 由 器 上 添加 VPN 服务 
即 可 

交换 机 式 VPN 主要 应 用 于 连接 用 户 较 少 的 VPN 网 络 

防火 墙 式 VPN 防火 墙 式 VPN 是 最 常见 的 一 种 VPN 的 实现 方式 , 许多 厂商 都 提供 
这 种 配置 类 型 


@ --4.2.6 ”拨号 用 户 远 程 认证 服务 -、 
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RADIUS (Remote Authentication Dial In User Service) 是 一 个 用 于 远程 用 户 认证 和 统 
计 的 服务 ， 它 包含 了 PAP、CHAP。 尽 管 它 主 要 由 服务 提供 商 使 用 ， 但 它 也 同样 可 以 使 
用 于 私有 网 络 集中 为 所 有 拨号 连接 者 提供 认证 和 统计 服务 。 例 如 ， 很 多 公司 都 有 很 多 员 
工 在 外 地 工作 ， 这 些 员 工 也 许 就 要 使 用 拨号 登入 服务 了 ， 还 有 一 些 厂商 或 者 该 公司 的 合 
E 伙 伴 为 了 获取 该 公司 的 信息 也 许 要 使 用 拨号 登入 服务 ， 那 么 对 这 些 情况 进行 认证 和 统 
计 ，RADIUS 不 失 为 一 个 好 的 工具 。 

具体 来 说 ，RADIUS 有 两 个 主要 组 件 : 认证 协议 和 统计 协议 。 


Li 
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口 认证 协议 一 旦 登录 到 RADIUS 的 服务 器 ， 用 户 就 要 和 自己 提供 的 数据 一 起 接 
受 认证 ， 认 证 的 方式 有 短 时 间 内 回答 服务 器 的 问题 和 使 用 PAP，CHAP 协议 
两 种 。 

口 统计 协议 RADIUS 有 3 种 嵌入 式 统计 模式 一 一 UNIX 统 计 模 式 .详细 统计 模式 、 
SQL 统计 模式 。 


1. RADIUS 的 核心 特性 


RADIUS 具有 如 下 核心 特性 。 

口 C/S 结构 在 C/S 结构 中 ， 客 户 端 负责 将 用 户 的 信息 传送 给 特定 的 RADIUS 服 
务 器 ， 然 后 对 反馈 的 信息 进行 响应 。 在 另 一 方面 ， 服 务 器 负责 接受 客户 端 发 送 
过 来 的 用 户 连 接 请 求 ， 验 证 用 户 ， 然 后 反馈 给 客户 端 必要 的 信息 让 其 决定 是 否 
给 用 户 提供 服务 。 

口 网 络 安全 客户 端 与 RADIUS 服务 器 之 间 的 所 有 通信 都 是 通过 一 个 共享 密 钥 进 
行 加 密 的 ， 当 然 该 密 钥 对 外 界 是 保密 的 。 

口 灵活 的 认证 机 制 RADIUS 服务 器 可 以 通过 不 同 的 方法 对 用 户 进行 验证 ， 例 如 
PPP、PAP 或 CHAP 等 方法 。 

口 可 扩展 RADIUS 是 一 个 支持 扩展 的 系统 ， 其 支持 两 种 可 扩展 语言 : 嵌入 式 重 
写 脉冲 和 Scheme 语言 。 当 然 根据 RFC2138 的 规定 ， 所 有 的 会 话 都 由 { 属 性 一 长 
度 一 值 } 三 元 组 组 成 ， 任 何 新 加 入 的 属性 值 都 不 能 打 乱 已 存在 协议 的 执行 。 


2. 标准 RADIUS 协议 包 结构 


标准 RADIUS 协议 包 结 构 如 图 4-9 所 示 。 
CE 


1 Code Identifier Length 
2 
了 
Anuthenticator 
4 
5 
6 Attribute  -------- ) 


图 4-9 Radius 包 格式 


Code: 包 类 型 ，1 字 节 ， 指 示 Radius 包 的 类 型 。 表 4-5 中 列 出 了 Code 字段 定义 
的 值 。 
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表 4-5 ”Code 字段 定义 的 值 
代码 〈 十 进 制 ) 数据 包 


1 Access-Request 请 求 访问 

2 Access-Accept 接受 访问 

3 Access-Reject 拒绝 访问 

4 Accounting-Request 计 费 请 求 

5 Accounting-Response 计 费 响应 

11 Access-Challenge 挑战 访问 

12 Status-Server 一 一 Experimental 服务 器 状况 实验 ) 
13 Status-Client 一 一 Experimental 客户 端 状况 (实验 ) 
15 Reserved 保留 


口 Identifier 包 标 识 ; 1 字 节 ， 取 值 范围 为 0~255; 用 于 匹配 请 求 包 和 响应 包 ， 
同一 组 请 求 包 和 响应 包 的 Identifier 应 相同 。 

口 Length 包 长 度 ; 2 字 节 ; 整个 包 中 所 有 域 的 长 度 。 

口 Authenticator 16 字 节 长 ; 用 于 识别 和 验证 RADIUS 服务 器 传 回来 的 请 求 以 及 
隐藏 口令 算法 中 的 答复 。 该 验证 字 分 为 两 种 : Request Authenticator 和 Response 
Authenticator。 

(1) Request Authenticator (请 求 验证 字 ) 用 在 请 求 报 文中 ， 必 须 为 全 局 唯一 的 随机 

值 。 在 “Access-Request” 数 据 包 中 , Authenticator 是 一 个 16 字 节 的 随机 数 , 称 为 “Request 
Authenticator ”。 

(2) Response Authenticator〔 响 应 验证 字 ) 用 在 响应 报 文中 ， 用 于 鉴别 响应 报 文 的 合 
法 性 。 在 “Access-Accept”、“Access-Reject” 和 “Access-Challenge” 中 的 Authenticator 
域 被 称 为 “Response Authenticator”。 

响应 验证 字 =MD5(Code+ID+Length+ 请 求 验 证 字 +Attributes+Key) 

Attributes: 属性 部 分 中 的 RADIUS 消息 包含 一 个 或 多 个 RADIUS 属性 , 它们 用 于 执 
行 RADIUS 消息 的 特定 身份 验证 、 授 权 、 信 息 和 配置 详细 信息 ， 如 图 4-10 所 示 。 

在 人 


1 Type Length Value 


图 4-10 Radius 包 结构 的 Attributes 部 分 


3. RADIUS 协议 基本 交互 步骤 


RADIUS 协议 的 基本 交互 步骤 如 图 4-11 所 示 。 

(1) 用 户 输入 用 户 名 和 口令 。 

(2) RADIUS 客户 端 根据 获取 的 用 户 名 和 口令 ， 向 RADIUS 服务 器 发 送 认 证 请 求 包 
(Access-Request )。 

(3) RADIUS 服务 器 将 该 用 户 信息 与 Users 数据 库 信 息 进 行 对 比分 析 ， 如 果 认 证 成 
功 ， 则 将 用 户 的 权限 信息 以 认证 响应 包 〈Access-Accept) 发 送 给 RADIUS 客户 端 ; 如 果 
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认证 失败 ， 则 返回 Access-Reject 响应 包 。 
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也 Radius 和 
D Client 


(1) 用 户 输入 用 户 名 /口令 


(2) 认证 请 求 包 Access -Request 


(3) 认证 接受 包 Access -Accept 
一 


(4) 计 费 开始 请 求 包 Accounting-Request (start) 


(5) 计 费 开始 请 求 响应 包 Accounting-Response 
一 


4 (6) 用 户 访问 资源 > 


(7) 计 费 结束 请 求 包 Accounting-Request (stop) 
一 一 一 


(8) 计 费 结束 请 求 响应 包 Accounting-Response 
(9) 通知 访问 结束 和 


4-11 Radius 协议 的 基本 交互 过 程 


(4) RADIUS 客户 端 根据 接收 到 的 认证 结果 接 入 /拒绝 用 户 。 如 果 可 以 接 入 用 户 ， 则 
RADIUS 客户 端 向 RADIUS 服务 器 发 送 计 费 开始 请 求 包 (Accounting-Request), status-type 
取 值 为 start。 

(5) RADIUS 服务 器 返回 计 费 开始 响应 包 (Accounting-Response )。 

(6) RADIUS 客户 端 向 RADIUS 服务 器 发 送 计 费 停止 请 求 包 (Accounting-Request)， 
status-type 取 值 为 stop。 

(7) RADIUS 服务 器 返回 计 费 结束 响应 包 (Accounting-Response )。 


4.3 ) Kerberos 


@-- 4:3.1 Kerberos 的 概念 ~ 

Kerberos 是 由 麻 省 理工 学 院 开 发 研制 的 一 种 计算 机 网 络 授权 协议 ， 用 来 在 非 安 全 网 
络 中 对 个 人 通信 以 安全 的 手段 进行 身份 认证 。 此 外 ， 这 个 词 也 指 麻 省 理工 学 院 为 这 个 协 
议 开 发 的 一 套 计算 机 软件 。 软件 设计 上 采用 PKI 技术 和 客户 端 /服务 器 结构 ， 并 且 能 够 进 
行 相互 认证 ， 即 客户 端 和 服务 器 端 均 可 对 对 方 进行 身份 认证 ， 可 用 于 防止 窃听 、 防 止 
replay 攻击 、 保 护 数 据 完整 性 等 场合 ， 是 一 种 应 用 对 称 密 钥 体制 进行 密 钥 管理 的 系统 。 
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Kerberos 的 扩展 产品 也 使 用 公开 密 钥 加 密 方法 进行 认证 。 

Kerberos 认证 身份 不 依赖 主机 操作 系统 的 认证 、 不 信任 主机 地 址 、 不 要 求 网 络 中 的 
主机 保持 物理 上 的 安全 。 在 整个 网 络 中 ， 除 了 Kerberos 服务 器 外 ， 其 他 都 是 危险 区 域 ， 
任何 人 都 可 以 在 网 络 上 读 取 、 修 改 、 插 入 数据 。Kerberos 典型 的 应 用 是 当 用 户 试图 使 用 
一 项 网 络 服务 的 时 候 ， 服 务 器 需要 保证 用 户 就 是 所 声称 的 那个 人 。 为 了 实现 这 个 目的 ， 
Kerberos 用 户 首 先 获 得 由 Kerberos 认证 服务 器 (AS) 发 布 的 票据 许可 票据 。 然 后 ， 票 据 
许可 服务 器 (TGS) 通过 检查 此 票据 来 核实 用 户 的 身份 。 审 核 之 后 ， 用 户 就 会 获得 一 个 
由 TGS 颁发 的 票据 (访问 票据 /服务 允许 票据 )， 以 此 得 到 服务 器 的 认证 ， 得 到 对 服务 的 
访问 权 。 

@ - 4.3.2 ” Kerberos 服务 所 要 满足 的 目标 - 


\ 
pp ep hte tpt 二 ’ 


Kerberos 所 要 满足 的 安全 目标 主要 有 几 下 几 方面 。 

口 安全 性 要 足够 安全 防止 潜在 的 窃听 者 窃取 信息 。 

口 高 可 靠 性 如 果 有 一 个 其 他 的 服务 架构 能 够 完全 复制 此 Kerberos， 那 么 就 说 明 

这 个 系统 是 不 可 信 的 。 

口 透明 性 用 户 除了 输入 密码 以 外 感觉 不 到 任何 其 他 事情 的 发 生 。 

口 可 扩展 性 可 实时 地 接受 并 支持 新 的 客户 端 ， 服 务 器 的 加 入 。 

为 了 满足 这 些 要 求 ，Kerberos 被 设计 成 可 信 的 第 三 方 服务 器 来 仲裁 客户 端 与 普通 服 
务 器 之 间 的 认证 。 


@-- 4.3.3 ”Kerberos 认证 过 程 -~ 

Kerberos 使 用 被 称 为 密 钥 分 发 中 心 (KDC) 的 “可 信赖 的 第 三 方 ”进行 认证 。 密 钥 
分 发 中 心 KDC 由 认证 服务 器 AS (Authenticator Server) 和 票据 授权 服务 器 TGS (Ticket 
Granting Server) 两 部 分 组 成 ， 它 们 同时 连接 并 维护 一 个 中 央 数 据 库存 放 用 户口 令 、 标 识 
等 重要 信息 。 整 个 Kerberos 系统 由 4 部 分 组 成 :认证 服务 器 (AS)、 票 据 授 权 服 务 器 (TGS)、 
用 户 C、 服 务 器 S。 

协议 的 安全 主要 依赖 于 参加 者 对 Kerberos 票据 的 认证 声明 。 简 单 地 说 ， 用 户 C 向 
AS 认证 时 用 了 一 个 长 期 共享 秘密 ， 并 从 AS 得 到 一 个 票据 。 随 后 ， 用 户 可 以 使 用 这 个 票 
据 得 到 与 服务 器 S 通信 时 必须 的 附加 票据 ， 而 不 需要 使 用 共享 秘密 。 这 些 票 据 可 以 向 S 
证 明 身 份 。 

图 4-12 给 出 了 用 户 C 请 求 服务 S 的 整个 Kerberos 认证 的 过 程 。 


1. 用 户 C 请 求 票据 许可 票据 


这 项 工作 在 用 户 登录 工作 站 时 进行 。 登录 时 ,用 户 被 要 求 输入 用 户 名 。 之 后 会 向 AS 
发 送 一 个 明文 消息 ， 里 面包 含 了 用 户 名 和 用 户 所 请 求 的 TGS 服务 名 称 。 
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4-12 ”Kerberos 认证 过 程 


2. AS 发 放 票 据 许可 票据 和 会 话 密 钥 


AS 校 验 这 个 用 户 是 否 在 它 的 数据 库 里 。 如 果 在 ，AS 返回 以 下 两 条 信息 给 用 户 。 

口 消息 A 用 用 户 密 钥 加 密 的 用 户 /TGS 会 话 密 钥 。 

口 消息 B 用 TGS 密 钥 加 密 的 票据 授权 票据 ( 包括 用 户 ID， 用 户 网 络 地 址 、 票 据 
有 效 期 、 客 户 /TGS 会 议 密 钥 )。 89 

用 户 收 到 消息 A 和 B， 解 密 消 息 A 得 到 用 户 /TGS 会 话 密 钥 。 会 话 密 钥 用 在 将 来 与 


TGS 的 通信 中 注意 ;用户 不 能 解密 消息 B， 因 为 它 是 用 TGS 的 密 钥 加 密 的 )。 这 样 的 
话 ， 用 户 就 拥有 足够 的 信息 向 TGS 证明 自己 的 身份 。 


3, 用 户 C 请 求 服务 器 票据 


用 户 向 TGS 发 送 以 下 两 条 消息 。 
口 消息 C 由 从 消息 B 中 获取 的 票据 授权 票据 和 申请 的 服务 的 ID 组 成 。 
口 消息 D 用 用 户 /TGS 会 议 密 钥 加 密 的 认证 ( 由 用 户 ID 和 时 间 鹤 组 成 )。 


4. TGS 发 放 服 务 器 票据 和 会 话 密 钥 
基于 收 到 的 消息 C 和 DD，TGS 从 消息 C 中 重新 获取 消息 B。 它 用 TGS 的 密 钥 解密 


消息 B。 这 一 步 使 它 得 到 “用 户 /TGS 会 话 密 钥 ”。 通 过 使 用 这 个 密 钥 ，TGS 解密 消息 D 
(认证 )， 而 后 返回 给 用 户 以 下 两 条 信息 。 


S， 


口 消息 EE 用 服务 器 密 钥 加 密 的 用 户 /服务 器 票据 ( 包括 用 户 ID， 用 户 网 络 地 址 ， 
用 户 / 服 务 器 会 话 密 钥 的 有 效 期 )。 

口 消息 了 用 用 户 /TGS 会 议 密 钥 加 密 的 用 户 / 服 务 器 会 议 密 钥 。 

5. 用 户 C 请 求 服务 


基于 从 TGS 收 到 的 消息 E 和 F, 用 户 有 足够 的 信息 向 服务 器 S 认证 自己 。 用 户 联系 
并 向 它 发 出 以 下 两 条 消息 。 
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口 消息 由 之 前 步骤 得 到 (用户 /服务 器 票据 ， 用 服务 器 的 密 钥 加 密 )。 
口 消息 G 用 客户 /服务 会 议 密 钥 加 密 的 一 个 新 的 认证 ， 包 括 用 户 ID、 时 间 坝 。 


6. 服务 器 S 提供 服务 器 认证 信息 


S 用 自己 的 密 钥 解密 票据 重新 得 到 用 户 / 服 务 器 会 话 密 钥 。 用 这 个 会 话 密 钥 ，S 解密 
得 到 认证 ， 并 返回 以 下 消息 给 用 户 ， 确 认 他 的 身份 真实 ， 并 愿意 向 用 户 提供 服务 。 

口 消息 于 在 用 户 认证 中 找到 时 间 戳 加 1 ， 并 用 用 户 / 服 务 器 会 话 密 钥 加 密 。 

用 户 C 收 到 消息 H 后 ， 使 用 用 户 /服务 器 会 话 密 钥 解密 ， 并 检查 时 间 戳 是 否 被 正确 
更 新 。 如 果 是 ， 用 户 可 以 信赖 服务 器 ， 至 此 完成 了 用 户 和 服务 器 的 双向 认证 。 然 后 ， 用 
户 可 以 向 服务 器 发 送 服务 请 求 。 


4.4) 安全 套 接 层 SSL 


e@--4asSSEE 的 概念 , 、 

SSL (Secure Sockets Layer 安全 套 接 层 ) 及 传输 层 安全 (Transport Layer Security， 
TLS) 是 为 网 络 通信 提供 安全 及 数据 完整 性 的 一 种 安全 协议 。SSL 与 TLS 在 传输 层 对 网 
络 连 接 进行 加 密 。 

SSL 是 一 个 安全 协议 ， 提 供 了 TCP/IP 通信 应 用 程序 间 的 保密 性 与 完整 性 。 通 常 来 
讲 ，SSL 一 般 用 于 互联 网 超 文 本 传输 协议 (HTTP)。 

在 SSL 的 实际 应 用 中 ， 客 户 端 与 服务 器 间 传 输 的 数据 通过 使 用 对 称 加 密 算法 (如 
DES) 进行 加 密 ， 并 通过 使 用 公用 密 钥 算法 (通常 为 RSA) 来 获得 加 密 密 钥 交换 和 数字 
签名 , 算法 中 使 用 的 密 钥 即 服务 器 SSL 数字 证 书 中 的 公用 密 钥 。 因 为 有 服务 器 的 SSL 数 
字 证 书 , 客户 端 可 以 验证 服务 器 的 身份 。 在 SSL 协议 的 版 本 1 和 2 中 只 提供 服务 器 认证 。 
版 本 3 添加 了 客户 端 认证 ， 此 认证 同时 需要 客户 端 和 服务 器 的 数字 证 书 。 


6- -442 一 SSE 连 接 -- 

SSL 会 话 的 建立 首先 是 通过 SSL 握手 完成 的 ， 图 4-13 给 出 了 SSL 的 握手 过 程 。 

SSL 连接 总 是 由 客户 端 发 起 ， 在 会 话 开始 时 执行 SSL 握手 ， 此 握手 最 终 产生 会 话 的 
密码 。 

(1) 客户 端 首先 向 服务 器 发 送 安 全 会 话 的 请 求 。 

(2) 服务 器 接收 到 客户 端 发 送 的 安全 会 话 请 求 后 , 会 向 客户 段 发 送 一 个 X.509 证 书 ， 
其 中 包含 了 服务 器 的 公共 密 钥 。 

(3) 客户 端 接收 到 证 书后 ， 首 先 对 服务 器 的 真实 性 进行 认证 。 认 证 结束 后 ， 客 户 喘 
随机 生成 一 个 与 服务 器 通信 的 会 话 密 钥 ， 并 用 服务 器 的 公 钥 进行 加 密 ， 发 送 给 服务 器 。 

(4) 服务 器 接收 到 加 密 信息 后 ， 利 用 自己 的 私 钥 对 其 进行 解密 得 到 会 话 密 铀 ， 双 广 
会 话 开始 。 
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在 SSL V3 中 添加 了 客户 端 认 证 服务 ， 因 此 在 第 二 步 的 时 候 ， 服 务 器 可 以 对 客户 端 
进行 认证 ， 服 务 器 会 发 送 “ 数 字 证 书 请 求 ” 的 消息 ， 其 中 包含 服务 器 支持 的 客户 端 数字 
证 书 类 型 的 列表 和 可 接受 的 CA 的 名 称 。 

对 于 客户 端 来 说 ， 如 果 服 务 器 向 其 请 求 数字 证 书 ， 客 户 端 将 发 送 其 所 持 有 的 数字 证 
书 ; 如 果 没 有 合适 的 数字 证 书 可 用 ， 客 户 端 将 发 送 “ 没 有 数字 证 书 ” 的 警告 。 如 果 需 要 
强制 认证 客户 端 数 字 证 书 ， 服 务 器 应 用 程序 将 会 使 会 话 失败 。 


4.5) 因特网 协议 安全 


因特网 协议 安全 (IPSec) 用 于 增强 网 络 层 传输 时 的 安全 性 ， 对 终端 用 户 是 透明 的 。 
IPSec 在 IPv4 版 本 中 是 可 选 的 ， 但 在 IPv6 版 本 中 是 必须 安装 的 。 


- 4.5.1 IPSec 协议 分 析 -- 

IPSec 中 有 3 个 主要 的 协议 提供 安全 服务 。 

口 SA (安全 关联 ) IPSec 所 有 的 通信 都 是 基于 通信 系统 之 间 的 安全 关联 security 
associations ( SAs )， 这 些 SAs 中 包含 有 索引 标识 和 共享 密 钥 所 需 的 基本 材料 信 
息 。Internet 安全 关联 和 密 钥 管 理 协 议 (ISAKMP ) 用 于 在 IPSec 环境 中 创建 并 
维护 这 些 安全 关联 。 前 面 提 过 网 路 层 的 人 P 是 无 连接 的 ， 但 SA 的 出 现 ， 可 以 让 
IPSec 在 网 络 层 建 立 一 个 逻辑 上 面向 连接 的 信道 , 该 信道 可 用 于 确保 发 送 方 的 保 
密 性 、 可 靠 性 、 完 整 性 和 抗 重 放 攻 击 。 值得 注意 的 是 每 一 个 SA 都 只 能 建立 一 个 
单 向 的 信道 ， 所 以 两 方 进行 通信 需要 两 个 SA。 

口 认证 头 (AH) AH 增加 了 报头 的 信息 ， 并 提供 了 完整 性 与 身份 认证 。 当 AH 用 
于 IPSec 环境 中 时 ,系统 通过 这 种 服务 可 以 确定 通信 角色 的 真实 性 。 值得 注意 的 
是 ， 单 独 使 用 AH 不 能 提供 任何 保密 性 的 服务 。 如 图 4-14 所 示 ， 认 证 头 (AH) 
位 于 耳 头 与 数据 之 间 ， 这 样 可 以 有 效 的 保护 主机 ， 同 时 也 不 影响 相 邻 网 络 设备 
的 正常 工作 。 
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IP 头 认证 头 ”| 受 保护 数据 


< 认证 性 和 数据 完整 性 ;> 


图 4-14 加 有 AH 的 数据 包 


口 封装 安全 载荷 (ESP) 和 AH 一 样 ，ESP 也 提供 完整 性 与 可 靠 性 ， 同 时 也 可 对 
数据 进行 加 密 以 确保 数据 包 的 内 容 不 恶意 攻击 者 破获 .。 从 图 4-15 可 以 看 出 , ESP 
对 数据 包 的 尾部 也 进行 了 封装 ， 这 样 可 以 有 效 的 保证 载荷 的 保密 性 。 


受 保护 数据 


ESP 尾 


IP 头 ESP 头 


< 认证 性 和 数据 完整 性 


图 4-15 ”安全 封装 的 数据 包 


IPSec 提供 两 种 不 同 的 操作 模式 ， 每 种 模式 提供 不 同 的 服务 ， 适 用 于 不 同 的 网 络 

环境 。 

口 ”传输 模式 ”此 模式 用 于 主机 与 主机 在 不 支持 IPSec 的 网 络 中 通信 的 情况 。 在 传输 
模式 下 ，ESP 对 数据 包 的 有 效 载荷 提供 保密 性 的 安全 服务 ， 但 数据 的 首部 必须 
保持 非 加 密 状态 , 只 有 这 样 相 邻 的 电脑 即使 没有 IPSec 的 安全 关联 , 也 能 知道 如 
何 处 理 接收 的 数据 包 ， 否则 不 能 读 取 地 址 信息 而 不 能 决定 数据 包 下 一 跳 的 位 置 。 

口 隧道 模式 ”在 两 个 网 络 设备 中 建立 一 个 虚拟 的 通道 ， 并 对 它们 之 间 的 所 有 通信 
数据 进行 加 密 。 由 于 虚拟 通道 的 使 用 ，ESP 可 以 在 隧道 模式 下 加 密 报 文 首 部 ， 
能 够 有 效 防止 流量 分 析 攻 击 。 所 谓 流量 分 析 攻 击 就 是 恶意 攻击 方 通过 监视 网 络 
分 析 网 络 中 的 主机 正在 与 谁 通信 ， 通 信 的 频率 是 多 少 等 ， 挖 据 出 对 自己 有 用 的 
信息 。 隧 道 模式 一 般 用 于 网 关 对 网 关 的 通信 中 ， 例 如 两 个 防火 墙 之 间 ， 只 有 当 
数据 包 到 达 目 的 网 关 以 后 ， 才 会 被 解密 并 进行 适当 的 处 理 。 


4.6) 点 对 点 协议 


早期 的 互联 网 用 户 一 般 都 是 通过 调制 解 调 器 点 对 点 拨号 接 入 互联 网 的 ， 因 此 点 对 点 
协议 (PPP) 是 一 个 限制 单一 数据 连接 的 协议 ， 每 一 个 连接 都 直接 通 向 远程 通道 服务 器 


安全 协议 


(RAS)， 其 作用 是 认证 接 入 进来 的 拨号 。 
PPP 是 一 种 多 协议 成 帧 机 制 , 它 支持 错误 检测 、 选 项 协商 、 头 部 压缩 以 及 使 用 HDLC 
类 型 帧 格式 〈 可 选 ) 的 可 靠 传输 。 


@--4.6.1 PPP 的 组 成 -、 
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PPP 的 组 成 主要 包括 以 下 几 部 分 。 

口 封装 PPP 封装 提供 了 不 同 协议 同时 在 一 条 链 路 传输 的 多 路 复 用 技术 ， 能 保持 
对 大 多 数 硬 件 的 兼容 性 。PPP 不 仅 提 供 帧 定 界 ， 而 且 提 供 协议 标识 和 位 级 完整 
性 检查 服务 。 

口 链 路 控制 协议 (LCP) 一 种 扩展 链 路 控制 协议 ， 用 于 建立 、 配 置 、 测 试 和 管理 
数据 链 路 层 连 接 。 

口 网 络 控制 协议 (NCP) 协商 该 数据 链 路 层 上 所 传输 的 数据 包 格 式 与 类 型 ， 建 立 、 
配置 不 同 的 网 络 层 协议 。 


® -4:6:2—PPP 工作 流程 :- -， 
PPP 的 工作 流程 如 下 。 
(1) 当 用 户 拨号 接 入 ISP 时 ， 路 由 器 的 调制 解 调 器 对 拨号 做 出 确认 ， 并 建立 一 条 物 
理 连接 。 
(2) PC 向 路 由 器 发 送 一 系列 的 数据 链 路 层 协议 (LCP) 分 组 。 这 些 分 组 及 其 响应 选 
择 一 些 PPP 参数 ， 建 立 数据 链 路 层 。 之 后 , PPP 进行 网 络 层 配置 ， 网 络 控制 协议 (NCP) 
给 新 接 入 的 PC 分 配 一 个 临时 的 下 地 址 ， 使 PC 成 为 因特网 上 的 一 个 主机 。 
(3) 通信 完毕 时 ，NCP 释放 网 络 层 连接 ， 收 回 原来 分 配 出 去 的 人 P 地 址 。 
(4) LCP 释放 数据 链 路 层 连接 ， 最 后 释放 物理 层 的 连接 。 
上 述 过 程 可 用 图 4-16 所 示 的 状态 图 来 描述 。PPP 链 路 的 起 始 和 终止 状态 是 图 中 的 
“ 链 路 静止 ”(Link Dead) 状态 ， 此 时 在 用 户主 机 和 ISP 的 路 由 器 之 间 并 不 存在 物理 层 的 
连接 。 当 用 户主 机 通过 调制 解 调 器 呼叫 路 由 器 时 ， 路 由 器 检测 到 调制 解 调 器 发 出 的 载波 
信号 ， 双 方 建立 物理 层 连 接 。 
物理 层 连 LCP 配 置 鉴别 成 功 或 NCP 配 置 
接 建 3 护 商 鉴 
主人 | 地 坊 议 | 协商 .| 三 和 


LCP 配 置 协 
商 失 败 鉴别 失败 
LCP 链 路 终止 链 路 终止 上 链 路 故障 或 关闭 请 求 


图 4-16 PPP 工作 流程 


之 后 ，PPP 进入 “ 链 路 建立 ”(Link Establish) 状态 ， 建 立 链 路 层 的 LCP 连接 。 这 
时 ，LCP 开始 协商 一 些 配 置 选 项 ， 即 发 送 LCP 的 配置 请 求 帧 。 协 商 结束 后 双方 就 建立 了 
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LCP 链 路 ， 接 下 来 进入 “认证 ”(Authenticate) 状态 。 在 这 一 状态 ， 只 允许 传送 LCP 协 
议 的 分 组 、 认 证 协议 的 分 组 以 及 监测 链 路 质量 的 分 组 。 可 以 使 用 的 认证 协议 包括 口令 认 
证 协议 (PAP) 和 挑战 应 答 认 证 协议 (CHAP)。 若 身份 认证 失败 ， 则 转 道 “ 链 路 终止 ? 
(Link Terminate) 状态 。 若 认证 成 功 ， 则 进入 “网 络 层 协议 ”(Network-Layer Protocol) 


在 “网 络 层 协议 ”状态 ，PPP 链 路 两 端的 网 路 控制 协议 NCP 根据 不 同 的 协议 互相 交 
换 网 络 层 特 定 的 网 络 控制 分 组 。 网 络 层 配置 结束 后 ， 链 路 进入 数据 通信 的 “ 链 路 打开 ” 
(Link Open) 状态 。 此 时 ， 链 路 的 两 个 PPP 端点 可 以 彼此 向 对 方 发 送 分 组 。 

数据 传输 结束 后 ， 可 以 由 链 路 的 一 端 发 送 终止 请 求 LCP 分 组 请 求 停止 链 路 连接 , 在 
接 到 对 方 的 终止 确认 LCP 分 组 后 ， 转 到 “ 链 路 终止 ”状态 。 如 果 链 路 出 现 故 障 ， 也 会 从 
“ 链 路 打开 ”状态 转 到 “ 链 路 终止 ”状态 。 当 调制 解 调 器 的 载波 停止 后 ， 则 回 到 “ 链 路 静 
止 ”状态 。 


@--4.6:3PPP 认证 -、 


对 于 PPP， 有 几 种 认证 协议 可 被 使 用 ， 其 中 有 PAP、CHAP、EAP。 


口 


口 


密码 认证 协议 (PAP) 要 求 申 请 人 重复 给 服务 器 发 送 认证 请 求 信 息 ， 包 括 用 户 
姓名 和 密码 ， 直 到 申请 人 接受 到 响应 或 者 连接 中 断 。 

挑战 握手 认证 协议 (CHAP ) 其 工作 在 共享 密 钥 的 基础 上 。 认 证 过 程 为 : 服务 
器 首先 给 客户 端 发 送 一 个 挑战 信息 然后 等 待 客户 端的 响应 ; 客户 端 一 旦 受到 挑 
战 信 息 ， 会 增加 一 个 随机 秘密 信息 ， 然 后 将 两 个 信息 加 在 一 起 求 出 hash 值 ， 然 
后 将 hash 值 与 秘密 信息 一 并 发 送 给 服务 器 ; 服务 器 收 到 客户 端 发 来 的 信息 后 也 
用 事先 商量 好 的 hash 函数 对 两 个 信息 之 和 求 hash 函数 ， 然 后 对 两 者 进行 比较 。 
服务 器 会 周期 性 对 客户 端 进行 认证 。 

扩展 认证 协议 (EAP ) EAP 是 一 个 开放 终端 ， 允许 远 程 VPN 客户 端 和 验证 程 
序 之 间 进 行 开端 对 话 。 对 话 由 对 身份 验证 信息 的 验证 程序 请 求 和 远程 VPN 窜 
户 端的 响应 组 成 。 例如 ， 当 EAP 与 安全 标记 卡 一 起 使 用 时 ,验证 程序 可 以 单独 
查询 远程 访问 客户 端的 名 称 、PIN 和 卡 标记 值 。 经 过 提问 和 回答 一 轮 查 询 之 后 ， 
远程 访问 客户 端 将 通过 身份 验证 的 另 一 个 级 别 。 正 确 回 答 所 有 问题 之 后 ， 将 对 
远程 访问 客户 端 进行 身份 验证 。 


协商 过 程 中 ,客户 端 和 服务 器 端 必须 在 加 密 算 法 和 密 钥 上 保持 一 致 , IETF 建议 了 两 
种 加 密 算 法 一 一 DES 和 3DES。 


习 题 


B. PPP 


一 、 选 择 题 C. Kerberos 


Ek 


D. SSL 


在 TCP/IP 协议 安全 中 ， 下 列 哪 一 项 属于 2. IPSec 中 有 3 个 主要 的 协议 用 来 对 传输 


应 用 层 安全 ? (  ) 中 的 系统 提供 安全 服务 ， 不 包括 下 列 哪 一 


A.VPNs 


内 丰 小 
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项 ? ( 、 3. 简 述 电子 邮件 加 密 原 理 。 
人 4. 简 述 电子 邮件 数字 证 书 原 理 。 
CECA 5. PPP 协议 是 如 何 工作 的 ? 
D. ESP 6. Kerberos 的 认证 过 程 是 如 何 进 行 的 ? 
二 、 简 答题 7. Radius 协议 是 如 何 进行 交互 的 ? 
0 8. 简 述 ee paid 
2. IPSec 如 何 对 传输 中 的 系统 提供 安全 2% VEN 是 如 何 工作 的 ? 
服务 ? 
课 后 实践 与 思考 
1. 了 解 您 所 在 的 单位 /学 校 的 VPN 架设 情况 ， 并 分 析 其 工作 原理 及 分 类 。 
2. 了 解 您 所 使 用 的 邮件 系统 都 涉及 哪些 安全 协议 。 


第 $ 蔓 ”安全 事件 处 理 


e 识别 并 处 理 系统 中 的 安全 事件 

。 熟悉 常见 的 攻击 方法 

。 理解 无 线 网 络 安全 

。 理解 传 感 网 络 安全 

系统 安全 首要 的 目标 就 是 维护 系统 中 数据 的 安全 。 为 了 给 数据 提供 高 效率 的 安全 保 
护 ， 必 须 理解 系统 中 存在 的 威胁 。 总 的 来 说 ， 威 胁 分 为 自然 威胁 和 人 为 威胁 。 对 于 系统 
管理 员 ， 更 应 关注 如 何 将 人 为 威胁 造成 的 损失 最 小 化 ， 能 够 对 实时 攻击 进行 识别 并 做 出 
合理 的 响应 。 

本 章 介 绍 了 几 种 常见 的 攻击 方式 ， 并 说 明了 当 攻 击发 生 时 如 何 分 辨 ,如 何 响应 。 对 
于 安全 策略 来 说 ， 第 一 步 就 是 辨别 正在 发 生 的 攻击 ， 然 后 就 必须 有 一 个 能 够 处 理 攻击 的 
计划 ， 计 划 中 必须 包括 如 何 对 攻击 进行 响应 ， 对 攻击 后 造成 的 损失 进行 恢复 等 一 系列 的 
动作 进行 详细 的 规划 。 

随 着 互联 网 技术 的 发 展 ， 无 线 网 络 和 传 感 网 络 的 应 用 日 益 广 泛 ， 如 何 有 效 保护 无 线 
网 络 和 传 感 网 络 的 安全 正在 成 为 新 的 研究 重点 。 


5.1) 攻击 及 其 相关 概念 


攻击 是 指 在 未 授权 的 情况 下 访问 系统 资源 或 阻止 授权 用 户 正常 访问 系统 资源 。 一 个 
试图 进行 以 上 行为 的 动作 就 可 以 被 称 做 攻击 ， 而 不 是 只 有 成 功 达 到 目的 的 动作 才能 称 做 
攻击 。 攻 击 通 过 泄密 、 算 改 、 和 毁坏 等 手段 来 损坏 数据 的 保密 性 、 完 整 性 、 可 用 性 。 
口 攻击 者 ” 指 实施 攻击 行为 的 主体 ， 可 以 是 一 个 个 体 ， 也 可 以 是 一 个 团体 。 当 攻 
击 实施 的 时 候 ， 攻 击 者 可 以 使 用 不 同方 法 ， 从 不 同 地 方 同时 对 目标 进行 攻击 。 
如 果 攻击 结果 违反 了 法 律 法 规 ， 就 可 以 称 之 为 计算 机 犯罪 。 

口 攻击 的 类 型 攻击 的 分 类 多 种 多 样 ， 根 据 目的 的 不 同 ， 攻 击 行为 又 可 以 分 为 军 
事情 报 攻 击 ， 商 业 金 融 攻 击 ， 恐 怖 袭击 ， 基 于 报复 的 攻击 ， 以 炫 疱 为 目的 的 
攻击 。 


@-- 5.1.1 安全 事件 -、 


在 理解 安全 事件 前 ， 首 先 要 明白 攻击 与 安全 事件 之 间 的 关联 与 不 同 。 任 何 违背 本 系 
统 安 全 策略 的 行为 都 可 以 称 为 安全 事件 ， 因 此 每 个 攻击 都 可 以 视 为 安全 事件 ， 但 并 不 是 
所 有 的 安全 事件 都 是 攻击 行为 。 例 如 ， 系 统 中 的 口令 策略 指定 不 能 以 词典 中 可 以 查 到 的 
词 作 为 系统 口令 ， 因 此 如 果 用 户 使 用 test 作为 密码 ， 就 可 视 为 安全 事件 。 


安全 事件 处 理 


安全 事件 处 理 最 重要 的 步 又 就 是 能 够 及 时 发 现 已 经 发 生 的 安全 事件 。 系 统管 理 员 必 
对 系统 的 安全 策略 有 足够 的 了 解 ， 能 在 第 一 时 间 内 知道 系统 正在 遭受 的 攻击 。 例 如 ， 
警 具 有 对 公路 上 的 最 高 限 速 有 所 了 解 ， 才 能 准确 判断 公路 上 的 汽车 是 否 超速 。 

当 意识 到 系统 存在 攻击 行为 时 ， 就 应 该 迅速 寻找 到 攻击 位 置 并 判断 攻击 类 型 ， 通 党 
可 以 通过 对 系统 日 志 进行 分 析 得 到 这 些 结果 。 例 如 ， 判 断 对 安全 文件 的 非 授权 访问 ， 最 
常见 的 做 法 就 是 分 析 系 统 权限 日 志 ， 如 果 有 人 越过 访问 控制 机 制 对 安全 文件 进行 了 非 授 
权 的 访问 ， 那 么 通过 日 志 就 可 以 判断 是 谁 接触 过 安全 文件 。 当 然 这 种 方法 也 不 是 绝对 有 
效 的 ， 攻 击 者 也 可 能 通过 授权 用 户 的 账号 来 请 求 资源 ， 这 样 日 志 中 只 会 记录 合法 用 户 的 
账户 。 

@ -5:1:2” 安 全 事件 类 型 -、 


/ 


须 


儿 
站 
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以 下 是 4 种 类 型 的 安全 事件 ， 这 4 种 安全 事件 都 是 很 常见 的 攻击 方式 ， 所 以 对 它们 
的 检测 、 预 防 、 响 应 对 保护 整个 系统 安全 至 关 重 要 。 


1. 扫描 


扫描 就 是 动态 地 探测 系统 中 开放 的 端口 ， 通 过 分 析 端 口 对 某 些 数据 包 的 响应 来 收集 
网 络 和 主机 的 情况 。 通 过 扫描 ， 可 以 判断 出 网 络 的 拓扑 结构 ， 主 机 的 操作 系统 信息 以 及 
主机 开放 的 端口 号 等 一 系列 信息 ， 为 攻击 行为 做 准备 。 因 此 ， 扫 描 虽然 不 是 攻击 行为 ， 
但 对 网 络 进行 的 恶意 扫描 的 危害 还 是 相当 大 的 。 


2.， 非 授权 访问 


非 授权 访问 是 指 越过 访问 控制 机 制 在 未 授权 的 情况 下 对 系统 资源 进行 访问 或 是 非法 
获得 合法 用 户 的 访问 权限 后 对 系统 资源 进行 访问 。 在 成 功 进入 系统 后 ， 攻 击 者 可 以 根据 
其 意愿 随意 泄露 、 更 改 、 摧 毁 数据 。 一 次 成 功 的 非 授权 访问 可 以 在 事后 不 留任 何 痕迹 ， 
因此 很 难 被 检测 。 处 理 这 种 事件 的 最 好 方法 就 是 关注 系统 正常 运行 时 的 数据 特征 ， 当 发 
现 数据 特征 的 异常 行为 时 ， 就 应 意识 到 系统 内 有 此 类 事件 发 生 。 

3 恶意 代码 


恶意 代码 可 以 是 一 个 程序 ， 一 个 进程 ， 也 可 以 是 其 他 的 可 执行 文件 ， 共 同 特征 是 可 
以 引发 对 系统 资源 的 非 授 权 修 改 或 其 他 的 非 授 权 行 为 。 病 毒 是 最 常见 的 一 种 恶意 代码 ， 
一 般 嵌 入 在 可 执行 文件 中 ， 引 发 某 些 非 授权 行为 ， 蠕虫 与 病毒 相似 ， 但 其 是 一 个 独立 的 
程序 ， 不 需要 宿主 ， 可 自我 运行 ， 另 一 种 常见 恶意 代码 是 木马 ， 表 面 看 起 来 是 一 个 正常 
程序 ， 但 还 隐藏 着 其 他 目的 ， 当 木马 程序 被 用 户 运行 时 ， 就 会 显露 出 真实 的 目的 ， 例 如 
恶意 自 改 文件 ， 自 我 复制 并 发 送 等 。 


4. 拒绝 服务 


拒绝 服务 攻击 主要 用 于 破坏 数据 的 可 用 性 。 正 常情 况 下 ， 当 系统 收 到 授权 用 户 的 资 
源 使 用 请 求 时 ， 就 能 够 给 用 户 提供 服务 。 拒 绝 服务 攻击 的 目的 就 是 使 系统 无 法 正常 向 授 
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权 用 户 提供 服务 。 拒 绝 服务 攻击 的 危害 极 大 ， 对 服务 供应 商 来 说 尤为 明显 。 例 如 当 
在 一 家 网 络 商城 购买 商品 的 时 候 ， 发 现 该 网 络 商城 的 网 站 无 法 正常 展示 商品 特性 ， 用 户 
的 第 一 反应 就 是 去 他 的 竞争 对 手 一 一 另外 一 家 网 络 商城 购物 。 


5.2) 安全 事件 管理 方法 


系统 管理 员 意 识 到 系统 内 有 安全 事件 发 生 时 ， 就 必须 将 安全 事件 处 理 计 划 付 诸 于 行 
动 。 整 体 来 看 ， 处 理 安全 事件 大 致 分 为 以 下 几 步 。 

(1) 检测 安全 事件 是 否 发 生 。 

(2) 控制 事件 所 造成 的 损害 。 

(3) 将 事件 与 事件 造成 的 损害 上 报 给 合适 的 认证 方 。 

(4) 调查 事件 的 起 因 、 来 源 。 

(5) 分 析 搜 索 到 的 线索 。 

(6) 采取 必要 行动 避免 类 似 事件 发 生 。 

对 于 单独 用 户 而 言 以 上 工作 量 过 于 巨大 ， 因 此 有 必要 建立 一 个 包含 来 自 于 不 同 部 门 
成 员 的 事件 响应 小 组 。 部 门 成 员 之 间 协 同 工 作 保证 高 效 处 理事 件 ， 同 时 最 大 限度 地 降低 
了 事件 再 次 发 生 的 可 能 性 。 

响应 小 组 通过 使 用 工具 及 其 他 办 法 调查 与 控制 安全 事件 ， 每 一 种 类 型 的 事件 都 需要 
通过 不 同 的 行为 来 控制 损害 程度 。 例 如 拒绝 服务 攻击 ， 通 过 设置 防火 墙 的 黑 名 单 就 可 以 
降低 攻击 的 强度 。 如 果 系 统 受 到 过 一 次 攻击 ， 就 很 有 可 能 遭受 第 二 次 攻击 。 应 该 对 系统 
控制 重新 进行 考虑 ， 并 对 每 一 类 安全 事件 重新 制定 防御 计划 。 

在 对 事件 进行 响应 的 时 候 ， 响 应 小 组 需要 收集 便于 以 后 分 析 的 信息 以 及 可 能 成 为 证 
据 的 信息 。 证 据 可 能 是 一 个 硬盘 、 一 个 软件 或 其 他 可 以 证 明 攻 击 者 身份 的 数据 。 收 集 证 
据 也 有 不 同 的 方法 ， 例 如 日 志 分 析 器 、 硬 盘 扫 描 工具 、 网 络 行为 踪迹 查询 等 。 

事件 响应 小 组 发 现 系 统 内 发 生 攻击 时 ， 首 先 要 确定 是 否 违反 了 法 律 法 规 ， 有 些 攻击 
起 初 看 起 来 并 没有 违反 任何 法 律 法规 ， 但 随 着 数据 的 收集 ， 才 被 发 现 属于 网 络 犯罪 。 这 
时 再 报警 ， 证 据 就 不 具有 法 律 效应 ， 甚 至 系统 管理 员 也 可 能 因为 没有 及 时 报警 而 引起 诉 
讼 。 所 以 最 好 的 做 法 就 是 当 发 现 攻击 有 违反 法 律 法 规 的 可 能 性 时 就 及 时 报警 。 


@-- 5.2.1 安全 事件 预防 


酒 
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一 个 好 的 安全 策略 首先 应 该 制订 出 响应 安全 事件 方案 的 大 体 框架 。 就 像 前 面 提 到 的 ， 
每 个 组 织 的 应 急 响应 小 组 成 员 应 该 由 组 织 内 各 个 部 门 的 成 员 构成 ， 这 样 在 事件 发 生 时 才 
能 妥善 处 理 系统 内 受到 事件 影响 的 各 方面 事物 。 

安全 策略 的 制订 也 必须 襄 括 所 有 可 能 会 发 生 的 安全 事件 ， 并 对 每 个 事件 给 出 合适 的 
响应 计划 。 在 制订 策略 并 具体 构造 响应 计划 的 框架 时 , 网络 上 有 些 优秀 的 资源 可 以 利用 ， 
图 5-1 列举 出 部 分 资源 网 站 。 

在 对 每 个 可 能 发 生 的 安全 事件 制订 响应 策略 时 ， 系 统管 理 员 必 须 按照 一 定 的 规则 ， 
将 责任 落实 到 每 一 个 人 身上 。 首 先 确认 事件 发 生 时 ， 响 应 小 组 内 的 每 一 个 成 员 能 够 明白 
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针对 该 事件 应 该 具体 做 什么 事情 ; 另外 还 要 对 成 员 进 行 换 位 训练 ， 以 防 遇 到 成 员 不 全 的 
情况 ， 最 后 还 要 对 终端 用 户 进行 简单 的 培训 ， 至 少 应 该 让 用 户 能 够 辨别 一 些 常 见 的 安全 
事件 并 且 明 白 处 理 它们 的 方法 。 例 如 ， 与 可 疑 主机 保持 距离 ， 并 及 时 上 报 给 安全 处 理 
中 心 。 


[3 
Handbook for Computer Security Incident htip://wwwsei.cmuedu/pub/documents/%.reports/pdt/98hbO01.pdf 
Response Teams 
omputer Security Incident Response Team http://www.cert org/csirts/ 

Responding to Intrusions http//www.certorg/security-improvement/moduies/mO6. html 
Forming an Incident Response Team http://www.auscert.orgou/render. himlit=22528&cid=1920 
SANS IESEC Reading Room: Incident Handling http://wwwsans.org/m/cotindex.php?cot_id=27 

FIRST: Forum of Incident Response and http//wwwfirstorg 
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5-1 安全 策略 资源 网 站 


最 重要 的 是 ， 系 统管 理 员 不 应 该 在 发 现 犯罪 已 经 发 生 后 才 将 情况 上 报 给 执法 部 门 ， 
首先 与 当地 的 执法 部 门 负责 人 建立 良好 的 合作 关系 ， 在 上 报时 能 够 明确 要 上 报 的 对 象 。 
同样 需要 与 公司 和 服务 商 建立 良好 的 合作 关系 ， 这 样 在 需要 帮助 的 时 候 ， 可 以 使 事件 的 
处 理 变 得 更 加 方便 。 


@ -5.2:2” 安 全 事件 处 理 标准 的 制定 - 

在 安全 响应 小 组 处 理 安全 事件 的 过 程 中 ， 要 遵循 预先 设 定 的 流程 进行 工作 。 一 部 分 
小 组 成 员 负 责 评估 损害 程度 ; 一 部 分 成 员 负 责 将 事件 告知 管理 人 员 并 与 服务 商 联系 寻求 
帮助 而 另 一 个 成 员 需 要 决定 是 否 需 要 告知 警察 来 协助 调查 。 所 有 小 组 成 员 都 使 用 标准 
化 的 事件 响应 格式 处 理事 件 ， 这 些 响应 格式 详细 记录 每 个 成 员 的 名 字 ， 要 做 出 的 动作 ， 
以 及 事件 处 理 过 程 中 的 各 种 信息 。 这 些 标准 化 的 格式 就 是 事件 报告 的 基础 。 

作为 一 个 响应 小 组 ， 在 响应 事件 时 ， 正 确 的 做 法 是 确认 小 组 内 的 每 一 个 成 员 都 会 尊 
循 事前 制定 好 的 步 又 ， 并 且 保 证 所 有 的 处 理 过 程 专业 化 ， 并 有 一 个 记录 着 从 开始 到 结束 
过 程 中 每 一 步 操作 的 详细 文档 。 所 以 制定 事件 响应 流程 的 标准 是 很 重要 的 ， 这 样 才能 让 
整个 小 组 高 效 地 完成 对 事件 的 响应 。 

在 制定 流程 标准 的 时 候 最 好 与 当地 的 执法 部 门 联系 ， 将 与 执法 部 门 相关 的 要 求 加 入 
到 流程 标准 中 ， 有 助 于 在 普通 的 安全 事件 扩大 成 犯罪 事件 时 进行 合理 有 效 的 责任 转交 。 


@ - 5.2.3” 对 安全 事件 的 事后 总 结 ~ 


当 对 安全 事件 进行 检测 、 控 制 、 侦 查 和 解决 等 一 系列 动作 后 ， 就 应 该 整理 关于 整个 
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事件 的 文档 ， 并 进行 总 结 。 要 收集 所 有 关于 此 次 事件 的 报告 ， 并 将 其 按时 间 顺 序 编辑 ， 
最 后 组 织 整个 事件 响应 小 组 成 员 集中 审阅 事件 报告 。 

小 组 会 议 的 主要 目标 是 总 结 小 组 在 事件 中 的 表现 ， 应 该 评估 在 本 次 响应 中 成 功 的 地 
方 ， 并 尽 可 能 地 提出 一 些 中 肯 的 意见 ， 主 要 包括 以 下 几 种 : 

(1) 哪些 是 做 得 好 的 地 方 。 

(2) 响应 是 否 及 时 并 且 恰 当 。 

(3) 哪些 方面 还 可 以 提升 。 

(4) 应 急 响应 的 动作 是 否 顾 及 了 系统 的 整体 安全 。 

(5) 能 够 采取 什么 样 的 措施 来 降低 同类 事件 再 次 发 生 的 可 能 性 。 

会 议 对 这 些 问题 进行 讨论 有 助 于 提升 小 组 的 工作 效率 。 对 好 的 方面 进行 加 强 ， 对 不 
好 的 方面 进行 改进 ， 小 组 的 工作 技能 与 经 验 会 逐步 提升 ， 处 理 安全 事件 会 日 益 高 效 与 专 
业 。 要 重视 会 议 中 的 所 有 意见 ， 并 将 合适 的 意见 调整 到 下 一 次 的 应 急 响应 之 中 。 最 重要 
的 是 ， 鼓 励 所 有 的 小 组 成 员 学 习 其 他 组 织 出 版 的 关于 事件 响应 的 论文 ， 最 经 济 有 效 的 方 
式 就 是 学 习 其 他 人 的 经 验 。 重 视 和 其 他 小 组 的 交流 ， 找 出 其 他 响应 小 组 做 得 好 的 地 方 和 
做 得 不 好 的 地 方 ， 学 习 长 处 ， 从 短处 中 汲取 经 验 教训 。 


5.3) 恶意 代码 


本 节 介 绍 了 几 种 常见 的 恶意 代码 的 类 型 ， 并 给 出 相应 的 处 理 方法 。 恶 意 代码 就 是 引 
发 非 授 权 修 改 或 其 他 非 授权 行为 的 命令 集合 。 恶 意 代 码 进 入 系统 的 方式 有 很 多 种 ， 可 以 
通过 网 络 进行 ， 也 可 从 可 移动 介质 中 植 入 。 

虽然 恶意 代码 可 以 越过 系统 防护 潜入 系统 ， 但 有 很 多 方式 可 以 检测 并 完全 挫 毁 它 。 
通过 病毒 防护 软件 对 所 有 的 文件 进行 扫描 可 以 发 现 恶 意 代 码 。 主 要 有 两 种 技术 用 来 进行 
扫描 ， 一 种 是 寻找 大 小 发 生变 化 或 访问 时 间 有 变化 的 可 执行 文件 ， 另 一 种 是 将 可 执行 文 
件 与 已 知 的 病毒 特征 模块 进行 对 比 ， 这 也 是 绝 大 部 分 病毒 扫描 器 的 工作 原理 。 

恶意 代码 又 分 为 病毒 、 里 虫 、 特 洛 伊 木 马 、 网 络 控件 等 几 类 。 


病毒 是 最 为 常见 的 一 种 恶意 代码 ， 一 个 病毒 就 是 一 个 简单 的 程序 ， 其 目的 在 于 寻找 
其 他 的 程序 ， 通 过 将 自身 的 复 件 说 入 到 程序 的 方式 来 感染 其 他 程序 ， 被 感染 的 程序 就 叫 
做 病毒 宿主 ， 当 主 程序 运行 时 ,病毒 代码 同样 也 会 运行 。 病 毒 需要 一 个 用 于 感染 的 宿主 ， 
脱离 宿主 ， 病 毒 就 不 能 自我 复制 。 第 10 章 将 详细 地 介绍 病毒 方面 的 有 关 知 识 。 


1. 蠕虫 的 定义 及 分 类 
从 对 计算 机 造成 损害 的 意义 上 说 , 蠕虫 也 是 一 种 病毒 具有 病毒 的 传播 性 、 隐 蔽 性 、 
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破坏 性 等 特性 。 但 里 虫 与 病毒 在 某 些 方面 是 不 同 的 。 蠕 虫 不 需要 宿主 程序 ， 通 过 复制 自 
身 在 互联 网 环境 下 进行 传播 。 同 时 ， 与 病毒 主要 是 破坏 计算 机 内 的 文件 系统 不 同 ， 蠕 虫 
的 传染 目标 是 互联 网 内 的 所 有 计算 机 。 表 5-1 给 出 了 普通 病毒 与 蠕虫 病毒 的 不 同 。 


表 5-1 普通 病毒 与 蠕虫 病毒 比较 


普通 病毒 蠕虫 病毒 
存在 形式 寄存 文件 独立 程序 
传染 机 制 宿主 程序 运行 主动 攻击 
传染 目标 本 地 文件 网 络 计算 机 


根据 攻击 目标 不 同 ， 可 将 蠕虫 病毒 分 为 两 类 。 一 类 是 针对 计算 机 网 络 的 ， 利 用 系统 
漏洞 ， 主 动 进行 攻击 ， 可 以 对 整个 互联 网 造成 瘫痪 性 的 后 果 。“ 红 色 代码 ^“ 尼 姆 达 ” 等 
都 是 这 种 类 型 的 蠕虫 。 男 一 类 是 针对 个 人 主机 的 ， 通 过 网 络 ( 主 要 是 电子 邮件 ， 恶 意 网 
页 形式 ) 进行 迅速 传播 ,“ 爱 虫 病毒 “>“ 求 职 信 病 毒 ” 是 这 种 类 型 的 蠕虫。 在 这 两 类 中 ， 
第 一 类 具有 很 大 的 主动 攻击 性 ， 而 且 爆发 也 有 一 定 的 突然 性 ， edediat 
较 低 。 第 二 类 病毒 的 传播 方式 比较 复杂 和 多 样 ， 少 数 利用 了 微软 的 应 用 程序 的 漏洞 ， 
多 的 是 利用 社会 工程 学 对 用 户 进行 欺骗 和 诱 使 ， er ever 


2. 蠕虫 的 基本 结构 及 传播 过 程 


蠕虫 的 基本 程序 结构 分 为 3 种 模块 : 传播 模块 、 ee 
块 负责 蠕虫 的 传播 。 pet 在 蠕虫 侵入 主机 后 ， 隐 藏 蠕虫 程序 ， 防 止 被 用 户 发 现 。 
目的 功能 模块 实现 对 计算 机 的 控制 、 监 视 或 破坏 等 功能 。 其 中 ， 传播 模块 又 可 以 分 为 3 
个 基本 模块 : 扫描 模块 、 攻 击 模 块 和 复制 模块 。 图 5-2 给 出 了 蠕虫 的 基本 构造 。 


一 扫描 模 志 
传播 模块 ”| 一 | 攻击 异世 
复制 模块 
本 四国 隐藏 模块 
目的 模块 


图 5-2 蠕虫 的 基本 构造 


蠕虫 程序 的 一 般 传播 过 程 如 下 。 

口 扫描 由 蠕虫 的 扫描 功能 模块 负责 探测 存在 漏洞 的 主机 。 当 程序 向 茶 个 主机 发 
送 探测 漏洞 的 信息 并 收 到 成 功 的 反馈 信息 后 ， 就 得 到 一 个 可 传播 的 对 象 。 

口 攻击 ”攻击 模块 按 漏洞 攻击 步骤 自动 攻击 步骤 1 中 找到 的 对 象 ， 取 得 该 主机 的 
权限 (一般 为 管理 员 权 限 )， 获 得 一 个 shell。 

口 复制 复制 模块 通过 原 主 机 和 新 主机 的 交互 将 蠕虫 程序 复制 到 新 主机 并 启动 。 
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3. 蠕虫 特点 及 危害 


蠕虫 的 特点 主要 有 几 下 几 方 面 。 

(1) 利用 操作 系统 和 应 用 程序 的 漏洞 主动 进行 攻击 。 典 型 的 此 类 蠕虫 病毒 有 “红色 
代码 ”和 “ 尼 姆 达 ” 等 。 由 于 下 浏览 器 的 漏洞 〈IEame Execcomand)， 感 染 了 “ 尼 姆 达 ” 
的 邮件 在 不 用 手工 打开 附件 的 情况 下 就 能 激活 病毒 。 而 “红色 代码 ”是 利用 了 微软 IS 
服务 器 软件 的 漏洞 (idq.dll 远程 缓存 区 溢出 ) 来 传播 。 

(2) 传播 方式 多 样 。 可 利用 文件 、 电 子 邮 件 、Web 服务 器 、 网 络 共享 等 途径 进行 


传播 。 
(3) 制作 技术 与 传统 的 病毒 不 同 。 利 用 当前 最 新 的 编程 语言 与 编程 技术 实现 ， 易 于 
修改 以 产生 新 的 变种 ， 从 而 逃避 反 病 毒 软件 的 搜索 。 

(4) 与 黑客 技术 相 结合 ， 潜 在 的 威胁 和 损失 更 大 。 以 红色 代码 为 例 ， 感 染 后 的 机 器 
的 web 目录 的 \scripts 下 将 生成 一 个 root.exe， 可 以 远程 执行 任何 命令 ， 从 而 使 黑客 能 够 
再 次 进入 主机 。 

从 1988 年 第 一 个 蠕虫 病毒 产生 开始 , 在 二 十 几 年 的 时 间 里 , 蠕虫 病毒 已 经 造成 了 巨 
大 的 经 济 损失 。 表 5-2 给 出 了 近 些 年 蠕虫 所 造成 的 巨大 损失 。 


表 5-2 ”蠕虫 事件 及 其 损失 


病毒 名 称 持续 时 间 造成 损失 

莫 里 斯 蠕虫 ”1988 年 6000 多 台 计 算 机 停机 ， 直 接 经 济 损失 达 9600 万 美元 

美丽 杀手 1999 年 政府 部 门 和 一 些 大 公司 紧急 关闭 了 网 络 服务 器 ， 经 济 损失 超过 
12 亿美 元 

爱 虫 病毒 2000 年 5 月 至 今 众多 用 户 电脑 被 感染 ， 损 失 超过 100 亿美 元 以 上 

红色 代码 2001 年 7 月 网 络 瘫痪 ， 直 接 经 济 损失 超过 26 亿美 元 

求职 信 2001 年 12 月 至 今 ” 大 量 病毒 邮件 堵塞 服务 器 ， 损 失 达 数 百 亿美 元 

SQL 里 虫 王 ”2003 年 1 月 网 络 大 面积 瘫痪 ， 银 行 自动 提 款 机 运作 中 断 ， 直 接 经 济 损失 超 
过 26 亿美 元 


@ -5:3:3“ 特 洛 伊 木马 --， 

“特洛伊 木马 ”( 简 称 “ 木 马 ”) 是 一 种 秘密 潜伏 的 能 够 通过 远程 网 络 进行 控制 的 恶意 
程序 。 控 制 者 可 以 控制 被 秘密 植 入 木马 的 计算 机 的 一 切 动作 和 资源 ， 是 恶意 攻击 者 进行 
窃取 信息 等 的 工具 。 特 洛 伊 木 马 没有 复制 能 力 ， 它 的 特点 是 伪装 成 一 个 实用 工具 或 一 个 
可 爱 的 游戏 ， 诱 使 用 户 将 其 安装 在 PC 或 者 服务 器 上 。 

“特洛伊 木马 ”一 词 来 源 于 希腊 神话 “木马 居城 记 ”。 古 希腊 有 大 军 围攻 特洛伊 城 
久 攻 不 下 。 于 是 有 人 献计 制造 一 只 高 二 到 的 大 木马 ， 让 士兵 藏医 于 其 中 ， 大 部 队 假装 撤 
退 而 将 木马 弃 于 特洛伊 城下 。 城 中 得 知 解围 的 消息 后 ,将 “木马 ”作为 战利品 拖 入 城内 。 
午夜 时 分 ， 匿 于 木马 中 的 将 士 开 秘 门 而 出 ， 开 启 城 门 ， 和 大 部 队 里 应 外 合 取 得 了 战争 的 
胜利 。 后 世 称 这 只 大 木马 为 “特洛伊 木马 ”。 如 今 黑客 程序 借用 其 名 ， 有 “一 经 湾 入 ， 后 
患 无 穷 ”之 意 。 
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1. 木马 组 成 及 启动 


完整 的 木马 程序 一 般 由 两 个 部 分 组 成 : 一 个 是 服务 端 ( 被 控制 端 ), 一 个 是 客户 端 ( 控 
制 端 )。 攻击 者 首先 将 服务 端 植 入 目标 系统 , 然后 利用 控制 端 控制 运行 服务 端的 主机 。“ 中 
了 木马 ”就 是 指 安装 了 木马 的 服务 端 程序 。 此 时 ， 主 机 上 的 各 种 文件 、 程 序 ， 以 及 在 使 用 
的 账号 、 密 码 都 可 以 通过 伪装 的 进程 发 送 给 控制 端 。 

木马 都 具有 自 启动 功能 ， 可 以 避免 木马 因 关 机 操作 而 失去 作用 。 自 启动 实现 的 方法 
有 很 多 ， 可 以 将 木马 加 入 到 用 户 经 常 执行 的 程序 (例如 explorerexe) 中 ， 当 用 户 执行 该 
程序 时 ， 木 马 自 动 发 生 作 用 。 当 然 ， 更 加 普遍 的 方法 是 通过 修改 Windows 系统 文件 和 注 
册 表 达到 目的 ， 常 用 的 方法 主要 有 以 下 几 种 。 

(1) 在 Winini 中 启动 : Win.ini 的 [windows] 字 段 中 有 启动 命令 “load=” 和 “run=”， 
一 般 情况 下 “=” 后 面 是 没有 内 容 的 ， 而 攻击 者 可 以 把 木马 程序 放 在 “=” 后 面 。 举 个 例 
子 ， 如 果 出 现下 面 情 况 

run=c:\windows\file.exe 

load=c:\windows\file.exe 


则 ，file.exe 很 可 能 就 是 木马 程序 。 

(2) 在 System.ini 中 启动 : System.ini 位 于 Windows 的 安装 目录 下 ， 攻 击 者 常 将 其 
[boot] 字 段 的 shell=Explorerexe 变 为 shell=Explorerexefile.exe。 注 意 这 里 的 file.exe 就 是 
木马 服务 端 程序 。 

(3) 利用 注册 表 加 载运 行 : 注册 表 的 很 多 位 置 都 是 木马 藏身 之 所 。 

(4) 在 Autoexec.bat 和 Config.sys 中 启动 : C 盘 根 目录 下 的 这 两 个 文件 也 可 以 启动 木 
马 。 但 这 种 方式 一 般 都 需要 控制 端 用 户 与 服务 端 建立 连接 后 ， 将 已 添加 木马 启动 命令 的 
同名 文件 上 传 到 服务 端 覆 盖 这 两 个 文件 ， 而 且 采 用 这 种 方式 易 被 发 现 ， 所 以 这 种 方式 并 
不 多 见 。 

(5) 启动 组 : 是 木马 隐藏 的 重要 位 置 。 

(6) 制作 好 的 带 有 木马 启动 命令 的 同名 文件 上 传 到 服务 端 覆 盖 这 些 同 名 文件 ， 达 到 
启动 木马 的 目的 。 

(7) 修改 文件 关联 : 这 种 方法 是 木马 常用 的 攻击 手段 。 例如， 正 常情 况 下 TXT 文件 
的 打开 方式 为 Notepad.EXE 文件 ， 但 一 旦 中 了 文件 关联 木马 ， 则 txt 文件 打开 方式 就 被 
修改 为 用 木马 程序 打开 。 不 仅 是 TXT 文件 ， 其 他 诸如 HIM、EXE、ZIPCOM 等 都 是 木 
马 的 目标 。 

(8) 捆绑 文件 : 这 种 方式 的 触发 条 件 是 首先 要 控制 端 和 服务 端 已 通过 木马 建立 连接 ， 
然后 控制 端 用 户 用 工具 软件 将 木马 文件 和 某 一 应 用 程序 捆绑 在 一 起 ， 然 后 上 传 到 服务 端 
覆盖 源 文件 ， 这 样 即 使 木马 被 删除 了 ， 只 要 运行 捆绑 了 木马 的 应 用 程序 ， 木 马 也 会 安装 
目 二 5 

2. 木马 的 隐藏 


(1) 隐藏 在 任务 栏 。 这 是 木马 最 基本 的 隐藏 方式 。 
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(2) 隐藏 在 任务 管理 器 。 

(3) 主机 端口 ， 大 多 数 木马 使 用 1024 以 上 的 端口 进行 通信 ， 随 着 技术 的 发 展 ,现在 
的 木马 都 提供 端口 修改 功能 。 

(4) 隐 茂 通信。 任何 木马 运行 后 都 要 和 攻击 者 进行 通信 连接 ， 可 以 通过 即时 连接 ， 
如 攻击 者 通过 客户 端 直接 接 入 被 植 入 木马 的 主机 ; 或 者 通过 间接 通信 ， 如 木马 把 侵入 主 
机 的 敏感 信息 送 给 攻击 者 。 因 此 ， 要 对 客户 端 和 服务 端的 通信 进行 隐藏 。 

(5) 隐藏 加 载 方式 ， 木 马 通过 对 加 载 方式 的 隐藏 ， 使 得 用 户 运 行 木 马 程序 。 随 着 网 
站 技术 的 不 断 进 步 ， 木马 的 传播 介质 越 来 越 多 ， 几 乎 WWW 的 每 一 个 新 功能 都 可 以 被 木 
马 利 用 。 


3.， 木马 的 特性 


(1) 木马 包含 在 正常 程序 中 ， 随 着 正常 程序 的 运行 而 启动 ， 具 有 隐蔽 性 。 

(2) 具有 自动 运行 性 。 

(3) 对 系统 具有 极 大 危害 性 。 

(4) 具有 自动 恢复 功能 。 很 多 木马 程序 可 以 进行 多 重 备份 ， 相 互 恢复 。 当 删除 其 中 
某 一 个 的 时 候 ， 再 运行 其 他 程序 的 时 候 ， 木 马 就 会 出 现 。 


4. 木马 的 种 类 
根据 木马 的 破坏 功能 不 同 ， 可 以 将 木马 分 为 以 下 几 类 ， 见 表 5-3。 
表 5-3 木马 的 种 类 
木马 种 类 描述 


破坏 型 木马 其 功能 是 破坏 并 且 删 除 文件 ， 可 以 自动 删除 用 户 电脑 上 的 DLL、INI、EXE 文件 

密码 发 送 型 木马 ”有 的 用 户 喜欢 把 自己 的 各 种 密码 以 文件 的 形式 存放 在 计算 机 中 ,还 有 的 用 户 喜 欢 
用 Windows 提供 的 密码 记忆 功能 记忆 密码 ， 密 码 发送 型 木马 可 以 找到 这 些 文件 ， 
并 把 它们 送 到 攻击 者 手中 。 也 有 些 木马 程序 会 长 期 潜伏 , 记录 操作 者 的 键盘 操作 ， 
从 中 寻找 有 用 的 密码 

远程 访问 型 木马 ”可 以 实现 远程 控制 ， 监 视 被 控制 主机 的 操作 

键盘 记录 木马 这 种 木马 能 记录 受 控 主机 的 键盘 敲 击 并 在 LOG 文件 里 查找 密码 

DoS 攻击 木马 被 DoS 攻击 木马 入 侵 的 主机 被 攻击 者 控制 成 为 “肉鸡 ” 向 目标 主机 发 动 攻击 。 
有 一 种 类 似 于 DoS 的 木马 叫做 邮件 炸弹 木马 ， 一 旦 被 感染 ,木马 就 会 随机 生成 各 
种 主题 的 信件 ， 对 特定 的 邮箱 不 停 地 发 送 邮件 ， 直 到 对 方 瘫痪、 不 能 接受 邮件 
为 止 

代理 木马 代理 木马 使 得 受 感染 主机 变 成 了 攻击 者 发 动 攻击 的 跳板 。 通 过 代理 木马 ， 攻 击 者 
可 以 在 匿名 的 情况 下 使 用 Telnet、ICQ、IRC 等 程序 ， 从 而 隐蔽 自己 的 踪迹 

程序 杀手 木马 这 种 木马 的 功能 就 是 关闭 对 方 主机 上 的 防 木马 程序 ， 保 证 其 他 木马 能 发 挥 更 大 
作用 

反弹 端口 型 木马 一 般 的 防火 墙 对 于 请 求 连 入 的 链接 会 进行 严格 的 过 滤 ， 而 对 请 求 连 出 的 链接 却 疏 
于 防范 。 反 弹 端 口 型 木马 就 是 针对 这 一 性 质 开发 的 ， 其 服务 端 〈 被 控制 端 ) 使 用 
主动 端口 ,客户 端 (控制 端 ) 使 用 被 动 端口 。 木 马 服务 端 定时 监测 控制 端的 存在 ， 
发 现 控制 端 上 线 立即 弹出 端口 主动 连结 控制 端 。 为 了 隐蔽 起 见 ， 控 制 端的 被 动 端 
口 一 般 开 在 80,， 即 使 用 户 使 用 扫描 软件 检查 自己 的 端口 , 也 不 容易 发 现 这 种 类 型 
的 木马 
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@-- 5.3.4” 网 络 控件 -~ 

对 于 恶意 代码 来 说 ,互联 网 就 是 最 为 常见 的 进入 口 之 一 。 现在 的 Web 浏览 器 和 其 他 
的 网 络 应 用 都 依 束 于 能 够 提供 大 量 复杂 功能 的 可 执行 程序 。 这 种 插件 程序 可 以 很 容易 地 
保证 系统 处 于 最 新 状态 并 且 能 够 支持 很 多 新 文件 的 类 型 。 但 是 这 些 程序 同样 可 以 被 某 些 
人 利用 ， 使 其 很 容易 就 将 恶意 代码 发 送 到 用 户主 机 。 因 为 互联 网 上 连接 着 大 量 的 主机 ， 
所 以 算得 上 是 一 个 持续 的 威胁 。 作 为 用 户 ， 必 须 保证 病毒 扫描 器 和 防御 软件 可 以 有 效 地 
保护 系统 不 被 恶意 程序 损坏 。 


5.4) 常见 的 攻击 类 型 


目前 ， 比 较 流 行 和 常见 的 攻击 有 后 门 攻击 、 暴 力 攻 击 、 缓 冲 区 溢出 、 拒 绝 服务 攻击 、 
中 间 人 攻击 、 社 会 工程 学 和 对 敏感 系统 的 非 授权 访问 等 。 


9- -5 后 问 政 击 = -、 


后 门 是 指 对 系统 的 一 个 特殊 访问 通道 ， 后 门 攻击 是 指 通 过 后 门 绕 过 软件 的 安全 性 控 
制 从 而 获取 程序 或 系统 访问 权 的 方法 。 后 门 通常 是 由 程序 的 编写 者 留 下 的 ， 目 的 在 于 更 
方便 地 完成 软件 的 测试 。 这 样 就 造成 了 茶 些 安全 隐患 ， 一 些 道德 败坏 的 程序 编写 者 能 够 
利用 后 门 获取 非 授权 的 数据 ， 另外， 后 门 相当 于 访问 控制 的 一 个 巨大 漏洞 ， 一 旦 被 攻击 
者 发 现 并 利用 就 会 造成 巨大 的 损失 。 预 防 后 门 最 好 的 方法 就 是 通过 加 强 控 制 和 安全 关联 
测试 来 检验 后 门 是 否 存在 ， 并 在 发 现 后 门 时 及 时 采取 措施 。 


@- -5:4:2 一 暴力 攻击 =-、 

暴力 攻击 或 称 为 穷 举 法 , 指 通 过 尝试 系统 可 能 使 用 的 所 有 字符 组 合 来 猜测 系统 口令 。 
这 种 攻击 方法 不 断 地 向 访问 控制 发 送 可 能 的 口令 值 ， 以 寻找 正确 的 口令 获得 系统 的 访问 
权 。 理 论 上 利用 这 种 方法 可 以 破解 任何 一 种 密码 ， 问 题 上 只 在 于 如 何 缩短 试 误 时 间 。 因 此 
有 些 人 通过 使 用 大 型 计算 机 增加 效率 ， 有 些 人 通过 字典 来 缩小 密码 组 合 的 范围 。 这 种 方 
法 的 效率 很 低 ， 当 破译 一 个 10 位 的 密码 时 ， 由 于 密码 包含 数字 ， 大 小 写字 母 ， 其 可 能 的 
组 合 数 以 亿 计 ， 对 于 普通 的 处 理 器 ， 可 能 会 用 掉 几 个 月 的 时 间 。 所 以 相对 而 言 ， 攻 击 成 
本 很 高 

当然 对 付 这 种 攻击 的 最 好 方法 就 是 小 心 保管 系统 口令 并 在 系统 中 设置 允许 输入 口令 
次 数 的 最 大 值 ， 若 超过 这 个 数值 ， 账 号 就 会 被 自动 锁定 。 同 时 要 对 登录 行为 进行 日 志 记 
录 ， 可 以 在 日 后 用 于 调查 。 
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@ - 5.4.3” 缓 冲 区 溢出 -. 

缓冲 区 溢出 攻击 是 一 种 可 预防 的 攻击 , 其 攻击 成 功率 一 般 取决 于 程序 中 存在 的 异常 。 
总 体 来 说 ， 当 存储 的 字符 串 长 度 超过 目标 缓冲 区 存储 空间 而 覆盖 在 合法 数据 上 时 就 会 发 
生 缓 冲 区 溢出 攻击 。 例 如 ， 将 一 个 20 字 节 的 字符 串 复 制 到 只 有 10 字 节 的 缓冲 区 。 防 止 
这 种 攻击 最 简单 的 方式 就 是 在 复制 的 时 候 检 查 数据 的 长 度 和 缓冲 区 的 长 度 ， 而 这 是 每 个 
编程 者 最 容易 忽略 的 。 

目前 有 两 种 在 地 址 空间 中 安排 攻击 代码 的 方法 : 植 入 法 和 利用 已 经 存在 的 代码 。 

(1) 植 入 法 。 攻 击 者 向 被 攻击 的 程序 输入 一 串 字 符 串 ， 程 序 会 将 这 个 字符 串 放 到 组 
冲 区 , 字符 串 内 包含 的 可 能 是 被 攻击 平台 的 指令 序列 , 缓冲 区 可 以 设 在 任何 地 方 : 堆栈 、 
堆 或 静态 存储 区 。 

一 个 成 功 的 缓冲 区 溢出 攻击 可 以 导致 程序 的 异常 和 崩溃 。 如 果 将 20 个 字符 复制 到 
10 个 字符 的 缓冲 区 , 多 余 的 10 字符 就 会 放 在 缓冲 区 后 面 10 字符 的 空间 里 造成 内 存 的 重 
写 ， 而 重 写 内 存 能 够 直接 导致 程序 的 崩 泪 。 这 种 类 型 的 攻击 相当 普遍 ， 因 为 在 系统 中 运 
行 的 大 量程 序 都 存在 着 这 种 脆弱 性 。 攻 击 者 通过 扫描 系统 获得 系统 运行 程序 的 信息 ， 然 
后 就 可 以 利用 程序 已 知 的 脆弱 性 进行 攻击 了 (www.securityfocus.com 中 有 关于 程序 已 知 
脆弱 性 的 大 量 记录 )。 

(2) 利用 已 经 存在 的 代码 。 很 多 时 候 ， 攻 击 者 需要 的 代码 已 经 存在 于 被 攻击 的 程序 
中 ， 攻 击 者 要 做 的 就 是 传递 一 些 参数 ， 比 如 ， 攻 击 代码 要 求 执行 “exec (bin/sh)”， 而 在 
libc 库 中 的 代码 执行 “exec (arg)”， 其 中 arg 是 指向 字符 串 的 指针 参数 ， 那 么 攻击 者 只 要 
把 传 入 的 参数 指针 改 向 指向 “/bin/sh” 即 可 。 


@ - 5.4.4 拒绝 服务 攻击 -， 


拒绝 服务 攻击 就 是 用 于 摧毁 系统 的 可 用 性 ， 此 类 攻击 往往 导致 系统 过 于 繁忙 以 至 于 
没有 能 力 去 响应 合法 的 请 求 。 拒 绝 服务 攻击 有 很 多 种 方式 ， 一 类 是 基于 漏洞 的 攻击 ， 发 
送 少 量 数据 导致 目标 资源 被 大 幅 占用 , 漏洞 可 能 会 是 操作 系统 的 漏洞 , 应 用 软件 的 漏洞 ， 
也 有 可 能 会 是 他 协议 的 漏洞 ; 还 有 一 类 是 面向 网 络 资源 的 攻击 ， 即 通过 控制 大 量 倪 偶 主 
机 对 目标 主机 发 送 正常 报 文 导 致 目标 系统 的 资源 耗 尽 。 大 部 分 的 拒绝 服务 攻击 就 是 向 目 
标 主机 发 送 请 求 响 应 的 网 络 数据 包 。 当然 无 论 出 于 什么 形式 , 最终 的 目标 都 是 拒绝 访问 。 

目前 拒绝 服务 攻击 多 为 分 布 式 拒绝 服务 攻击 (DDos)， 其 将 多 个 计算 机 联合 起 来 作 
为 攻击 平台 ， 对 一 个 或 多 个 目标 发 动 拒绝 服务 攻击 ， 从 而 成 倍 的 提高 拒绝 服务 攻击 的 威 
力 。 例 如 ， 一 名 攻击 者 使 用 一 个 非 授权 账户 将 DDos 主 控 程 序 安装 在 计算 机 上 ， 同 时 将 
代理 程序 安装 在 互联 网 的 其 他 计算 机 上 ， 代 理 程序 在 某 个 时 间 段 内 受到 指令 发 动 进攻 ， 
最 终 破坏 目标 系统 的 可 用 性 。 

而 与 DDos 配合 使 用 最 多 的 就 是 SYN Flood 攻击 ， 其 利用 TCP 协议 的 安全 缺陷 ,发 
送 大 量 伪造 的 TCP 连接 请 求 ， 使 被 攻击 方 的 资源 耗 尽 。 具 体 来 说 ，SYN Flood 是 通过 三 
次 握手 实现 的 。 
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(1) 攻击 者 想 被 攻击 服务 器 发 送 一 个 含有 SYN 标志 的 报 文 ，SYN 会 指明 客户 端 使 
用 的 端口 以 及 TCP 连接 的 初始 序号 ， 这 是 攻击 者 与 被 攻击 者 建立 第 一 次 的 握手 。 

(2) 被 攻击 服务 器 受到 攻击 者 的 SYN 报 文 后 ,将 返回 一 个 SYN-ACK 的 报 文 , 表示 
攻击 者 的 请 求 被 接受 ， 同 时 TCP 序号 加 1，ACK 被 确认 ， 这 是 攻击 者 与 被 攻击 者 之 间 建 
立 的 第 二 次 握手 。 

(3) 服务 器 在 发 送 应 答 报 文 后 无 法 收 到 攻击 者 的 ACK 报 文 ， 一 般 情 况 下 服务 器 会 
重 试 ， 这 时 候 服 务 器 会 等 待 一 段 时 间 。 作 为 一 个 攻击 者 ， 让 服务 器 等 待 一 段 时 间 对 服务 
器 的 运行 没有 太 大 的 影响 ， 而 如 果 恶 意 的 攻击 者 大 量 模拟 这 种 情况 ， 服 务 器 端 将 为 了 维 
护 一 个 非常 大 的 半 连 接 列 表 而 消耗 资源 。 即 使 是 简单 的 保存 并 遍历 也 会 消耗 非常 多 的 
CPU 时 间 和 内 存 ， 何 况 还 要 不 断 对 这 个 列表 中 的 人 P 进行 SYN+ACK 的 重 试 ， 即 使 服务 
器 的 性 能 足够 强大 ， 也 会 随 着 CPU 的 效率 不 断 降低 导致 无 法 处 理 其 他 客户 的 正常 请 求 
这 种 情况 下 ， 服 务 器 段 就 属于 遭受 了 拒绝 服务 攻击 。 


9 -54:5 一 中 间 大 玫 击 = 、 


中 间 人 攻击 是 通过 各 种 技术 手段 将 受 入 侵 者 控制 的 一 台 计 算 机 虚拟 放置 在 网 络 连接 
中 的 两 台 通信 计算 机 之 间 ， 然 后 把 这 台 计 算 机 模拟 一 台 或 两 台 原 始 计算 机 ， 使 “中 间 人 ” 
(入 侵 者 放置 的 计算 机 ) 能 够 与 原始 计算 机 建立 活动 连接 , 而 两 台 原始 计算 机 用 户 却 意识 
不 到 “中 间 人 ”的 存在 ， 只 以 为 是 和 彼此 进行 通信 。“ 中 间 人 ”通过 假冒 身份 ， 可 以 截获 
原始 计算 机 的 通信 消息 ， 进 而 进行 一 系列 的 攻击 。 

例如 ， 有 3 台 终 端 同时 连接 到 同一 个 工作 组 交换 机 中 。 此 时 如 果 主 机 甲 需要 访问 主 
机 乙 ( 第 一 次 访问 时 只 知道 对 方 的 下 地 址 而 不 知道 MAC 地 址 ), 就 需要 先 发 送 一 个 ARP 
请 求 。 向 各 台 主 机 询问 ，IP 地 址 为 多 少 的 主机 其 MAC 地 址 为 多 少 ， 并 会 附 上 主机 甲 的 
MAC 地 址 。ARP 请 求 会 以 广播 的 形式 在 局 域 网 中 传播 。 正 常情 况 下 ， 除 了 乙 以 外 的 不 
相关 的 主机 都 会 丢弃 这 个 数据 包 。 而 上 只 有 主机 乙 接收 到 这 个 请 求 后 ， 才 会 进行 响应 。 主 
机 乙 首先 会 在 自己 的 ARP 缓存 中 创建 主机 甲 IP 地 址 与 MAC 地 址 的 相关 记录 (如 果 已 
经 存在 这 个 IP 地 址 ， 则 会 进行 更 新 )， 并 向 主机 甲 发 送 ARP 响应 。 此 时 的 ARP 响应 是 
一 个 单 播 数据 包 ， 即 直接 发 送 给 主机 甲 ， 而 不 是 以 广播 的 形式 发 送 。 以 上 是 正常 的 ARP 
处 理 流程 。 但 是 在 这 个 过 程 中 ， 如 果 终 端 设备 丙 在 收 到 主机 甲 发 送 的 ARP 请 求 之 后 ， 没 
有 抛弃 这 个 数据 包 ， 而 是 发 送 了 伪造 的 ARP 响应 (将 自己 的 MAC 地 址 替代 主机 乙 的 
MAC 地 址 )， 同 时 阻 扰 主 机 乙 的 正常 通信 ， 那 么 就 可 以 发 起 中 间 人 攻击 。 甲 在 接收 到 主 
机 丙 的 ARP 响应 之 后 ， 将 不 能 够 拥有 主机 乙 的 正确 MAC 地 址 与 人 P 地 址 。 对 于 主机 甲 
来 说 ， 它 就 会 错误 的 认为 主机 丙 就 是 其 要 发 送 数据 的 对 象 。 从 而 将 数据 直接 发 送 给 主机 
两 。 此 时 对 于 主机 甲 和 主机 乙 之 间 的 任何 通信 ， 就 会 被 发 送 到 主机 两 上 。 然 后 主机 丙 在 
获取 相关 的 内 容 之 后 ， 可 能 进行 流量 的 重 定向 。 在 这 个 过 程 中 ,主机 丙 就 被 称 为 中 间 人 。 
这 个 过 程 就 被 称 为 中 间 人 攻击 。 


--54:6 二 社会 焉 程 学 --， 


社会 工程 学 是 一 种 利用 被 攻击 者 心理 弱点 、 本 能 反应 、 好 奇 心 、 信 任 、 贪 禁 等 心理 
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而 设置 陷阱 ， 以 交谈 、 其 骗 、 假 冒 等 方式 ， 从 合法 用 户 中 套 取 用 户 系统 秘密 的 一 种 攻击 
方法 。 一 个 攻击 者 通常 会 利用 各 种 手段 欺骗 用 户 泄露 系统 口令 或 说 服用 户 在 其 主机 上 安 
装 木马 。 由 于 动作 的 执行 人 的 确 是 系统 授权 用 户 ， 因 此 这 种 类 型 的 攻击 很 难 被 监测 到 。 
对 付 这 种 类 型 的 攻击 最 有 效 的 方法 就 是 加 强 安全 意识 教育 。 要 让 用 户 记 住 任何 情况 下 都 
不 能 向 其 他 人 泄露 自己 的 口令 ， 任 何 想 要 进入 系统 的 用 户 都 应 该 被 及 时 报告 给 上 级 。 通 
过 这 些 简单 的 规则 可 以 有 效 地 降低 社会 工程 学 的 攻击 。 


@ 5.4.7 ”对 敏感 系统 的 非 授权 访问 “、 
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大 部 分 攻击 的 目标 都 是 访问 系统 的 敏感 信息 。 一 种 情况 是 攻击 者 获取 具有 经 济 价值 
的 信息 ， 例 如 关于 某 个 投资 项 目 竞标 的 信息 ;， 另 一 种 情况 是 攻击 者 只 想 修改 信息 ， 例 如 
在 某 次 考试 中 成 绩 不 理想 的 同学 ， 就 会 想 办 法 进入 成 绩 数据 库 ， 将 自己 的 成 绩 信息 进行 
修改 。 

无 论 是 处 于 哪 种 目的 ， 对 敏感 信息 的 非 授权 访问 都 会 对 系统 造成 严重 的 损害 。 


5.5) 无 线 网 络 安全 


56 无 线 网 络 基础 -， 
无 线 网 络 技术 诞生 于 1970 年 ，40 年 来 ， 随 着 通信 技术 的 不 断 发 展 ， 无 线 网 络 技术 
也 作为 提升 最 快 的 通信 技术 之 一 进入 大 众 的 视野 。 无 线 通信 技术 可 以 在 区 域内 实现 移动 
通信 ， 为 了 满足 这 种 通信 的 需求 ， 无 线 网 络 的 基础 设施 、 通 信 技 术 都 有 了 很 大 发 展 。 
目前 ， 无 线 局 域 网 采用 的 传输 媒体 主要 有 两 种 ， 即 红外 线 和 无 线 电波 。 按 照 不 同 的 
调制 方式 , 采用 无 线 电 波 作 为 传输 媒体 的 无 线 局 域 网 又 可 分 为 扩 频 方式 与 窄带 调制 方式 。 
人 -5.5.2 无 线 网 络 协议 标准 、 
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无 线 网 络 协议 标准 主要 为 802.11 系列 协 ， 是 由 IEEE 制定 的 ， 目 前 居于 主导 地 位 的 
无 线 局 域 网 标准 ， 其 包括 IEEE802.11b、IEEE802.11a、IEEE802.11g、IEEE802.11n， 图 
5-3 给 出 了 每 一 个 标准 的 相关 参数 。 


-@-- 5.5.3 无 线 网 络 安全 -、 


如 今 ， 无 线 网 络 技术 已 经 广泛 应 用 到 多 个 领域 ， 然 而 ， 无 线 网 络 的 安全 性 也 是 最 令 
人 担忧 的 , 经 常 成 为 入 侵 者 的 攻击 目标 。WEP(Wired Equivalent Privacy) 和 WPA ( Wi-Fi 
Protected Access) 是 无 线 网 络 安全 中 最 重要 的 两 个 安全 加 密 模式 。 


内 器 小 


安全 事件 处 理 
无 线 技术 与 802.11 802.11a 802.11b 802.11g 802.11n 
标准 
推出 时 间 1997 年 1999 年 1999 年 2002 年 2006 年 
工作 频段 24GHz 5GHz 24GHz 24GHz 24GHz 和 5 GHz 
最 高 传输 速率 2Mbps 54Mbps 11Mbps 54Mbps 108Mbps 以 上 
实际 传输 速率 。“ 低 于 2Mbps 31Mbps EMbps 20Mbps 大 于 30Mbps 
传输 距离 100M 80M 100M 150M 以 上 100M 以 上 
主要 业务 数据 数据 、 图 像 、 语 音 。 数据 、 图 像 。 数据 、 图 像 、 语音 。 ”数据 、 语 音 、 高 清 图 像 
成 本 高 低 低 低 低 
5-3 ”802.11 系列 协议 的 实际 参数 
1. WEP 


WLAN (无 线 网 络 ) 的 一 个 目标 就 是 提供 与 有 线 网 络 等 同 的 安全 性 ， 为 了 达到 这 个 
目标 ， 无 线 网 络 标准 的 设计 者 们 提出 了 多 种 安全 机 制 来 提供 数据 的 保密 性 服务 ， 身 份 认 
证 服务 和 访问 控制 服务 。 对 于 IEEE802.11 标准 来 讲 ， 加 密 与 验证 都 是 建立 在 WEP 算法 
上 面 的 。 

WEP 算 法 通过 一 个 长 度 为 40 位 的 密 钥 来 提供 身份 认证 与 加 密 .在 WEP 安全 机 制 中 ， 
同一 无 线 网 络 的 所 有 用 户 和 接 入 访问 点 (AP) 使 用 相同 的 密 钥 来 加 密 和 解密 ， 网 络 中 的 
每 个 用 户 和 AP 都 存放 着 一 份 密 钥 。802.11 标准 没有 定义 一 种 密 钥 管理 协议 ， 所 以 WEP 
密 钥 必须 通过 手工 进行 管理 。WEP 算法 是 一 种 由 明文 与 其 等 长 的 伪 随 机 密 钥 序列 按 位 进 
行 模 二 相 加 来 获取 密 文 的 算法 。WEP 机 制 采用 了 40 位 或 104 位 的 加 密 密 钥 , 与 24 位 的 
初始 化 向 量 IV 连接 , 产生 64 位 或 128 位 密 钥 种 子 , 然后 送 入 一 个 伪 随 机 产生 器 PRNG， 
用 生成 的 伪 随 机 序列 对 传输 的 明文 数据 进行 加 密 。 该 系统 同时 还 采用 CRC-32 作为 完整 
性 校 验 的 校 验 值 。 

图 5-4 给 出 了 无 限 网 络 采用 CRC-32 完成 完整 性 校 验 的 具体 过 程 。 


消息 M SRe-3 lcv C(M) 


= P=( M:C (M ))— 
头 部 加 IV 
初始 向 量 “1V 一 密 钥 C 一 一 一 ~ [iv[ c 
RC 待 发 送 的 数据 帧 
[一 一 | PRN 6 RC4 


共享 密 钥 一 一 
5-4 无 线 网 络 的 完整 性 校 验 
(1) 校 验 和 计算 : 根据 待 发 送 消息 M 的 二 进 制 码 流通 过 CRC-32 计算 出 完整 性 检验 


值 ICV CIGM， 然 后 把 C(MD) 附 在 原始 明文 M 的 尾部 ， 组 成 完整 的 明文 P=<M，C(MD)>。 
(2) 密 钥 流 生成 : 选择 一 个 24 位 的 初始 向 量 IV， 由 IV 和 40 位 的 共享 密 钥 K 组 成 
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64 位 的 密 钥 流 种 子 ， 将 64 位 的 种 子 输入 伪 随 机 序列 产生 器 PRNG， 经 过 RC4 算法 生成 
密 钥 序列 或 称 为 密 钥 流 ， 它 是 初始 化 向 量 IV 和 密 钥 K 的 函数 ， 表 示 为 RC4(IV，K)。 

(3) 数据 加 密 : 将 明文 P=<M，C(M)> 和 密 钥 流 RC4(TV，K) 相 异 或 得 到 密 文 C， 其 
数据 表达 式 为 : C=PeRC4(IV，K)， 其 中 P=<M，CGM>。 

(4) 数据 传输 : 在 密 文 C 的 头 部 附 上 IV， 得 到 待 发 送 的 数据 帧 ， 然 后 通过 无 线 方式 
将 其 发 送 到 接收 端 。 

数据 解密 链 路 层 数 据 的 解密 过 程 是 加 密 过 程 的 逆 过 程 。 在 接收 端 ， 密 钥 流 RC4(IV， 
K) 将 被 重新 生成 ， 与 密 文 C 相 异 或 便 可 得 到 明文 P"。 接 收 方 把 解密 后 的 明文 P" 分 解 成 
消息 M" 和 校 验 值 COM)"， 并 由 M" 计 算出 校 验 和 COM")， 比 较 CM") 和 收 到 的 校 验 和 C" 
是 否 一 致 ， 如 果 一 致 ， 则 接受 此 数据 帧 ; 否则 ， 将 其 丢弃 。 


2. WPA 


WPA 是 一 种 保护 无 线 网 络 (Wi-Fi) 安全 的 系统 , 它 是 在 研究 者 在 前 一 代 的 系统 WEP 
中 找到 的 几 个 严重 的 弱点 的 基础 上 而 产生 的 ， 它 有 WPA 和 WPA2 两 个 标准 。 

WPA 的 数据 是 以 一 把 128 位 元 的 钥匙 和 一 个 48 位 元 的 初 向 量 GV) 的 RC4 流 密码 来 
加 密 。 针 对 WEP 的 缺点 ，WPA 做 的 主要 改进 就 是 在 使 用 中 可 以 动态 改变 钥匙 的 “临时 钥 
匙 完整 性 协定 ”(Temporal Key Integrity Protocol，TKIP)， 加 上 更 长 的 初 向 量 ， 这 可 以 击 
败 许多 针对 WEP 的 攻击 ， 如 知名 的 金 钥 搬 取 攻击 。 

除了 加 密 和 认证 外 ，WPA 对 于 所 载 数 据 的 完整 性 也 提供 了 巨大 的 改进 。WEP 所 使 
用 的 CRC 循 环 匈 余 校 验 ) 先天 存在 不 安全 性 缺点 ， 在 不 知道 WEP 钥匙 的 情况 下 ， 
要 自 改 所 载 数据 和 对 应 的 CRC 是 完全 可 能 的 ， 而 WPA 使 用 了 称 为 “Michael” 的 更 安 
全 的 讯息 认证 码 (在 WPA 中 叫做 讯息 完整 性 查核 ， MIC)。 此 外 ，WPA 使 用 的 MIC 包 
含 了 帧 计数 器 ， 以 避免 WEP 的 另 一 个 弱点 一 一 回放 攻击 的 利用 。 

WPA 的 增 大 钥匙 和 初 向 量 、 减 少 和 钥匙 相关 的 封包 个 数 、 再 加 上 安全 信息 验证 系统 
使 得 侵入 无 线 局 域 网 路 的 难度 大 大 增加 。Michael 算法 是 WPA 设计 者 在 大 多 数 旧 的 网 
卡 也 能 使 用 的 条 件 下 找到 的 最 强 的 算法 ， 但 是 它 可 能 会 受到 伪造 封包 攻击 。 为 了 降低 伪 
造 封包 攻击 的 风险 ，WPA 网 络 每 当 侦 测 到 一 个 企图 的 攻击 行为 时 就 会 关闭 30 秒 钟 。 


6 -15:5:4 无 线 局 域 网 存在 的 安全 问题 -， 
无 线 网 络 有 其 固有 的 不 安全 性 ， 总 体 看 来 ，WLAN 面临 的 安全 问题 主要 有 以 下 几 个 
方面 。 


1. 身份 标识 


身份 标识 是 安全 机 制 中 一 个 很 重要 的 部 分 。WLAN 的 协议 栈 中 包含 着 一 个 介质 访问 
控制 协议 层 ，WLAN 标准 通过 比较 试图 连接 到 路 由 器 的 设备 的 MAC 地 址 和 路 由 器 所 保 
存 设备 的 MAC 地 址 来 判断 是 否 允 许 进 入 网 络 。 当 然 这 种 方法 不 是 绝对 安全 的 ， 例 如 入 
侵 者 可 以 通过 克隆 MAC 地 址 来 试图 连接 网 络 。 

另外 WLAN 也 使 用 服务 集 标识 (SSID) 来 标识 自己 的 无 线路 由 设备 ， 设 置 了 SSID 
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的 路 由 设备 必须 由 设置 了 相应 的 SSID 的 用 户 才 可 以 进入 网 络 。 简 单 地 说 , 一 个 SSID 就 
是 一 个 无 线 局 域 网 的 名 称 ， 只 有 相同 SSID 值 的 电脑 才能 互相 通信 。 值 得 注意 的 是 ， 每 
一 个 厂商 的 无 线 设 备 都 有 一 个 默认 的 SSID， 攻 击 者 可 以 利用 这 些 SSID 来 渗透 无 线 局 
域 网 。 


2. 缺乏 访问 控制 机 制 


无 线 局 域 网 标准 本 身 不 包括 任何 访问 控制 机 制 ， 为 了 修补 这 一 安全 漏洞 ， 大 部 分 无 
线 设备 都 使 用 基于 MAC 地 址 的 访问 控制 列表 ACL)， 列 表 将 每 一 个 允许 通过 的 MAC 
地 址 列举 在 其 目录 下 ， 如 果 MAC 地 址 不 在 ACL 中 ， 那么 该 客户 端 就 会 被 拒绝 访问 该 网 
络 ,但 攻击 者 可 以 通过 更 改 本 身 的 MAC 地 址 进入 网 络 。 攻 击 者 首先 监听 一 个 有 效 的 MAC 
地 址 的 通信 或 者 通过 无 线 嗅 探 软件 捕获 网 络 中 正在 使 用 的 MAC 地 址 列表 ， 然 后 将 自己 
的 MAC 地 址 进行 伪装 ， 这 样 就 可 以 以 合法 的 身份 进入 无 线 网 络 中 。 


3. 802.11 标准 中 缺乏 认证 机 制 


802.11 标准 支持 两 种 认证 服务 :开放 型 系统 与 共享 密 钥 。 认 证 类 型 由 认证 类 型 控制 
参数 控制 。 开 放 型 系统 是 一 个 默认 的 认证 算法 ， 包 含 两 个 步 又， 第 一 步 是 在 访问 控制 接 
入 点 向 客户 端 索取 身份 标识 ;第 二 步 是 通过 认证 服务 器 认证 客户 端的 请 求 。 在 这 种 认证 
方式 中 , 无 线 接 入 点 只 起 到 了 传递 的 功能 , 所 有 的 认证 工作 在 申请 及 认证 服务 器 上 完成 。 

在 共享 密 钥 认证 模式 下 ， 客 户 端 通过 挑战 应 答 的 方式 通过 认证 。802.11 要 求 客户 端 
使 用 秘密 信道 进行 认证 , 首先 客户 端 会 发 送 一 个 “认证 请 求 管理 数据 包 ”， 说明 想 要 使 用 
共享 密 钥 ， 接 入 点 收 到 该 请 求 后 ,会 发 送 一 个 “认证 管理 数据 包 ” 作 为 对 客户 端的 响应 ， 
该 数据 包 包 含 128 个 字符 ， 伪 随机 数字 生成 器 和 一 个 随机 的 初始 向 量 。 伪 随机 数字 生成 
器 作用 是 生成 带 有 共享 密 钥 的 质询 文本 ， 随 后 ， 该 客户 收 到 认证 管理 数据 包 将 质询 文本 
复制 到 一 个 新 的 数据 包 中 ， 并 选择 一 个 新 的 初始 变量 将 其 放 在 含有 质询 文本 的 数据 包 中 
进行 WEP 加 密 并 传输 给 接 入 点 。 接 入 点 收 到 给 数据 包 后 ， 通 过 共享 密 钥 对 其 进行 解密 ， 
并 查看 32 位 的 CRC 完整 性 校 验 值 以 验证 数据 包 的 完整 性 。 验 证 成 功 后 ， 为 达到 相互 鉴 
别 的 目的 ， 客 户 与 接 入 点 互 换 角色 重复 以 上 过 程 。 

4. WEP 密 钥 的 管理 问题 

802.11 无 线 局 域 网 本 身 不 支持 加 密 与 认证 服务 ， 这 些 服务 机 制 都 是 通过 WEP 来 提 
供 ， 因 此 对 无 线 局 域 网 来 说 ，WEP 密 钥 管理 的 缺失 是 另 一 个 较为 重要 的 安全 漏洞 。 另 外 
由 于 大 型 网 络 架 构 包 含 众 多 漫游 基站 与 客户 端 ， 而 相互 之 间 缺 乏 内 部 访问 协议 ， 使 得 
IEEE802.11 已 经 不 能 满足 一 些 大 型 网 络 的 安全 需求 了 。 


5.6) 传 感 网 络 
无 线 技术 在 近 些 年 的 发 展 ， 推 动 了 低 功 耗 多 功能 传感器 的 快速 发 展 。 无 线 传 感 网 络 


或 者 说 传 感 网 络 是 指 相互 合作 的 多 个 独立 设备 以 自 组 织 的 形式 构成 网 络 ， 并 通过 多 跳 中 
继 方式 将 监控 数据 传 到 汇聚 节点 。 这 些 相互 合作 的 独立 设备 在 传 感 网 络 中 称 为 传感器 ， 
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112 


信息 安全 技术 教程 


用 于 侦查 、 监 督 、 追 踪 周 边 环境 变量 ， 如 不 同 地 点 的 温度 、 声 音 、 振 动 和 压力 。 

随 着 技术 的 发 展 ， 传 感 网 络 中 的 节点 已 经 能 够 装载 一 些小 程序 在 将 收集 到 的 数据 传 
送 给 汇聚 节点 之 前 对 其 进行 简单 的 处 理 ， 传 感 节点 之 间 也 出 现 了 一 些 复杂 的 协议 ， 可 以 
有 效 地 降低 节点 之 间 通 信 的 无 谓 损 耗 ， 数 据 收集 的 准确 度 也 得 到 了 大 幅度 的 提升 。 这 些 
技术 的 使 用 节约 了 汇聚 节点 的 操作 使 其 有 更 多 空间 处 理 传 入 的 数据 。 


-- 5.6:1 传 感 网 络 的 基本 元 素 -、 


i i eR a i 


9 -- 5.6.2 无线 传 感 网 络 安全 -、 


作为 一 种 新 型 网 络 ， 传 感 网 络 的 基本 要 素 有 以 下 这 些 内 容 。 


口 


路 由 “无线 传 感 网 络 的 通信 与 传统 网 络 通信 相似 ， 同 样 是 基于 多 层次 的 协议 栈 
的 通信 。 目 前 广泛 使 用 的 路 由 协议 包括 : 以 数据 为 中 心 的 路 由 协议 ， 分 层次 的 
路 由 协议 和 基于 地 点 的 路 由 协议 。 

功 耗 ”由 于 大 部 分 的 传 感 节点 都 处 在 不 可 达 环 境 中 ， 所 以 对 其 进行 能 量 补充 就 
很 困难 。 当 一 个 传 感 节点 的 能 量 用 光 时 ， 工 作 就 会 失效 。 因 此 ， 对 于 一 个 网 络 
来 说 ， 其 性 能 高 低 和 传 感 节点 计算 效率 关系 极 大 。 

容错 性 ”任何 传 感 网 络 的 可 靠 性 必须 强 ， 能 够 不 受 单个 节点 错误 的 影响 。 

可 扩展 性 当 有 新 的 节点 加 入 时 ， 传 感 网 络 应 该 不 受 影响 。 

生产 成 本 无 线 传 感 网 络 通 常 使 用 大 量 的 传 感 节点 ， 每 个 独立 的 传 感 节 点 都 关 
系 着 整个 传 感 网 络 的 成 本 。 

传 感 网 络 的 拓扑 结构 “任何 一 个 普通 传 感 网 络 都 会 包含 着 数 千 个 传 感 节点 ， 这 
数 千 个 传 感 节点 会 随机 分 布 在 网 络 的 各 个 地 点 ， 节 点 部 署 方式 不 同 也 会 导致 区 
域内 节点 的 密度 不 同 进而 影响 网 络 的 性 能 ， 因 此 无 线 传 感 网 络 的 拓扑 结构 也 极 
其 重要 ; 传输 介质 : 在 无 线 传 感 网 络 中 ， 节 点 之 间 通 过 无 线 网 络 进行 连接 ， 这 
个 无 线 介质 可 能 是 红外 、 蓝 牙 、 无 线 射频 或 光波 ， 它 们 的 传播 效率 决定 着 传 感 
网 络 的 性 能 。 
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1. 无线 传 感 网 络 的 安全 需求 
无 线 传 感 网 络 由 于 具有 分 布 在 各 处 的 节点 ， 所 以 其 安全 需求 也 于 传统 的 系统 安全 有 


国 ] 


国 


同 ， 具 体 如 下 。 


节点 的 物理 安全 性 ”虽然 无 法 保证 节点 物理 上 的 绝对 不 可 破坏 ， 但 可 以 采取 一 
定 的 措施 增加 节点 被 破坏 的 难度 ， 并 加 强 对 节点 数据 的 保护 。 

真实 性 、 完 整 性 、 可 用 性 ”需要 保证 通信 双方 的 真实 性 以 防止 恶意 节点 冒充 合 
法 节点 达到 攻击 目的 ， 同 时 要 保证 各 种 网 络 服务 的 可 用 性 。 另 外 还 要 保证 数据 
的 完整 性 和 时 效 性 ， 对 于 一 些 特 定 的 应 用 还 要 保证 数据 的 保密 性 。 

安全 功能 的 低能 耗 性 ”由 于 常用 的 加 解密 和 认证 算法 往往 需要 较 大 的 计算 量 ， 
在 应 用 到 无 线 传 感 网 络 中 时 需要 仔细 衡量 资源 消耗 和 达到 的 安全 强度 ， 选 择 合 
适 的 算法 以 尽量 小 的 资源 消耗 得 到 较 好 的 安全 效果 。 


加 
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访问 的 攻击 方式 称 做 ( 。”)。 
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节点 之 间 的 合作 性 ”无线 传 感 网 络 中 的 许多 应 用 都 需要 节点 间 保 持 一 定 的 合 
作 ， 但 节点 趋向 于 尽量 降低 资源 消耗 的 特点 与 其 合作 性 有 一 定 的 矛盾 。 

攻击 容忍 性 单 点 失败 或 恶意 节点 的 不 合作 行为 ， 使 得 拓扑 发 生变 化 从 而 导致 
路 由 错误 ， 需 要 无 线 传 感 网 络 具有 自我 组 织 性 以 避免 此 种 情况 。 另 外 ， 网 络 也 
需要 能 容忍 伪造 、 蓉 改 、 技 弃 包 等 恶意 行为 。 

攻击 发 现 和 排除 无 线 传 感 网 络 应 能 及 时 发 现 潜在 的 攻击 行为 ， 并 尽快 消除 恶 
意 行 为 给 网 络 带 来 的 影响 ， 比 如 隔离 恶意 节点 将 攻击 流量 拦截 在 网 络 之 外 ， 以 
收回 被 攻击 者 占据 的 网 络 资源 。 


无 线 传 感 网 络 的 安全 机 制 


抗 干扰 攻击 者 可 以 通过 干扰 等 手段 对 网 络 中 的 传 感 节点 进行 拒绝 服务 攻击 ， 
所 以 必须 引入 抗 干 扰 的 协议 与 服务 来 制止 这 种 攻击 的 发 生 。 

访问 控制 ”对 用 户 授予 合适 的 权限 来 访问 传 感 网 络 的 资源 ， 对 一 个 传 感 网 络 来 
说 ， 访 问 控制 机 制 是 相当 重要 的 。 

密 钥 管理 ” 密 钥 管理 是 无 线 传 感 网 络 中 的 认证 与 加 密 服务 的 核心 ， 随 着 传 感 网 
络 应 用 的 增加 ， 一 个 有 效 的 密 钥 管理 方案 是 必须 的 。 

数据 备份 ”能 够 在 攻击 发 生 情 况 下 保证 数据 的 完整 性 和 可 用 性 。 

抗 节 点 动 持 ” 传 感 网 络 面临 的 一 个 重要 安全 问题 就 是 节点 动 持 ， 与 传统 网 络 物 
理 安全 可 以 得 到 很 好 的 满足 的 特性 不 同 ， 传 感 网 络 节点 部 署 环境 一 般 很 难保 证 
其 物理 安全 。 因 此 一 般 采 用 节点 宛 余 或 路 由 宛 余 的 方案 避免 节点 动 持 。 


习题 


B. 中 间 人 攻击 


、 选 择 题 C. 社会 工程 学 


以 下 哪 一 项 不 属于 恶意 代码 ? ( 。 ) D. 后 门 攻 击 

全: 请 要 二 、 简 答题 

B. 特洛伊 木马 

C. 系统 漏洞 1. 病毒 与 蠕虫 有 何 区 别 ? 试 举例 常见 的 病 
D. 蜂 虫 毒 和 里 虫 。 

使 授权 用 户 泄露 安全 数据 或 允许 非 授权 2. 简 述 WEP 算法 原理 。 

3. 常见 的 攻击 类 型 有 哪些 ? 该 如 何 防范 这 
A. 拒绝 服务 攻击 些 攻击 ? 


课 后 实践 与 思考 


网 站 常见 攻击 实例 


一 、X-scan 扫描 工具 的 使 用 


实验 内 容 : 


La 


使 用 X-scan3.3 检测 系统 漏洞 


册 on 由 
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2. 使 用 X-scan3.3 扫描 系统 端口 

3. 使 用 X-scan3.3 检测 系统 用 户 以 及 共享 信息 
1. 使 用 X-scan3.3 检测 系统 漏洞 

(1) 设置 要 扫描 的 主机 下 地址 ， 如 图 5-5 所 示 。 


图 5-5 设置 要 扫描 的 主机 IP 
(2) 设置 中 选择 扫描 模块 ， 如 图 5-6 所 示 。 


放 1.0 
Seryez 且 口令 操作 委 帮 Blacier 


OOOOOOO 


i SS 
字典 文件 设置 ”项 加 载 其 他 字典 。 


i 
7 

和 
WA 


FTP 弱 口 令 
SQL 人 


国史 


5-6 选择 扫描 模块 


翰 吕 小 
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(3) 全 局 设置 中 的 其 他 选项 可 以 按照 默认 ， 然 后 展开 “插件 设置 ” 选择 “漏洞 检测 
脚本 设置 ”项 ， 这 里 默认 选择 的 是 全 部 的 脚本 列表 ， 如 图 5-7 所 示 。 


SP 相关 设置 


杠 TBI0S 相 关 设置 脚本 运行 超时 秒 ) 
漏洞 检测 脚本 设置 Er 
CGI 相关 设置 


字典 文件 设置 


图 5-7 漏洞 检测 脚本 设置 
(4) 脚本 选择 框 中 选择 需要 检测 的 脚本 ， 如 图 5-8 所 示 。 


EE 


存 为 列表 文件 : 所 有 脚本 : 
eustom. nsl 


回 Guest belongs to a group Checks the groups 
Vsers in the “Account Operator’ group Lists the users t: 
Vsers in the Adnin group Lists the users tt. 
加 Vsers in the ’Backup Operator’ group Lists the users 七 
回 Wsers in the Domain Adnin group Lists the users t: 
加 Vsers in the "Frint Operator’” group Lists the users ti 
加 Vsers in the “Replicator’ group Lists the users t: 
回 Vssers in the System Operator’ group Lists the users t 
口 mms 回 Lecal users information : automatically dis... Lists the users t: 
DPeer-To-Peer File She 

口 Remote file access 
RFC 

口 Service detection 
SNTP problems 
SNMP 


回 Local users information : Can t change pass... Lists the users t- 

回 Local users information : disabled accounts ~ Lists the local u 

回 Local users information : Never changed pas... Lists the local u 

回 Local users information : User has never 10... Lists the local u 

回 Local users information : Passwords never @... Lists the local u 

回 Obtains the lists of users aliases Inplements 于 
» 


DVseless services 
回 Yindows 
Windows :Microsoft 


全 选 洁 除 | 选中 依 斥 脚本 [L 本 |] ws | 


[Total 25 scripts. 


图 5-8 选择 需要 检测 的 脚本 


(5) 选择 好 后 单 击 两 次 “确定 ”按钮 退出 扫描 设置 ， 然 后 单 击 “ 开 始 扫描 ”按钮 ， 
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如 图 5-9 所 示 。 


加 


a 
oir 


图 图 图 图 图 田 四 扣 
eeeoeogee 


2 16 413 正在 执行 漏洞 检测 秆 本 "ftp_anonymous. nasl” (103/773 


图 5-9 开始 扫描 
(6) 扫描 完成 后 会 生成 一 个 报告 并 以 网 页 形式 显示 在 正 浏览 器 中 ， 如 图 5-10 所 示 。 


| 
到 着 Weekerss3 狂 工具 VScwrv3 3\loe\l27_0_0_L_repert htal 了 二 了 mE 
[ES 3 从 -DO-” 
玉生 机 OSI Uninow 05 PORT 
EE 
主机 地 址 端口 /服务 | 琶 务 尖 油 
127,0.0,1 emp (35htcp) 发 现 安 全 提示 
[DcEj12345776-1234abedeR00- 发现 安全 提示 
2700.1 |olzy4s6789ec (1025p) ”| 发 砚 安全 提示 
[pcE/S0abc2+.574d -033065- 人 
127.0.0.1 eeafd5fba076 {1028/tep) a 
DcEj82244280-036b-1icf97X- | 发 静安 全 提示 
127.0.0.1 00aa006887b0 (1029ftcp) 十 a 
DCEJb3df47c0 -8953-11cf3326” | 发 网 安全 提示 
127.0.0.1 |00aa00c148b9 {1034/tcp) 1 
DCE/a9b96d9-275- 斩 173173” “发现 安全 提示 
127.0.0.1 [oaa6fnez6lec (1035hep) | 人 
0 lw Caf) 人 
EMsfead57<817418a30ds- | 发 册 安全 提示 
127.0.0.1 S200da16 seb (1039/tcp) | 
pcEh34720X-1 和 0b- 如 7 地 加。 发现 安全 提示 
1270.04 [catzpan76s (1038/en) 
|pCEAB7f -cbaa-A0a2am0+ | 发现 安全 提示 
127.0.0.1 Jal2bcaf352fa (1038/tcp) 
类型。 高 口 /服务 | 安全 泥 洞 及 解决 方案 
BR leomap (Gshp) [DCE Servioes Eumeratia 
| Computng Envrorment (DCE) services runnng on the remote host 习 
莫 术 阳 卫 可 | 


5-10 ”扫描 报告 


册 加 台 
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2. 使 用 X-scan3.3 扫描 开放 的 端口 
(1) 选择 扫描 模块 ， 如 图 5-11 所 示 。 


问 宫 -Serverss 再 :ai 
口 NetBios 售 息 Sg 
口 smnp 信 

口 远程 操作 系统 
口 TELNET9 口 令 


六 于 描 TCP 端 口 状态 ， 并 根据 
用户 黄 置 主动 识 列 开 放 端 口 正在 运行 的 
服务 及 目标 操作 系统 类 型 。 


口 SocKS5 弱 口令 
口 Is 编码 /解码 漏洞 
口 漏洞 检测 脚本 


4 


图 5-11 选择 扫描 模块 
(2) 在 端口 设置 中 输入 需要 检测 的 端口 ， 如 图 5-12 所 示 。 


SHMP 相 关 设 置 

亚 TBI0S 相 关 设置 
漏洞 检测 脚本 设置 
CGI 相关 设置 
字典 文件 设置 


图 5-12 设置 检测 端口 
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(3) 扫描 过 程 如 图 5-13 所 示 。 


日 - 目 110/tep 
加 “popa" 服 务 可 能 
BEB- 21/tep 


“WEB" 服 务 运 行 = 
“HTTP 代 理 "服务 
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(Ate /i host thread: 1/10, Current/Naximun thread; 3/100, Time(s): 21 
图 5-13 ”扫描 过 程 
(4) 扫描 完成 后 查看 生成 的 报告 ， 如 图 5-14 所 示 。 


ND |B :Hackers #3BIR-Seanv3. 3o0\127 0 0_1_report htal er x sos [ol-] 
容 闪 Bx-sewm Report Lc BA pod dd 


主机 检测 结果 
127.0.0.1 | 发 现 安全 提示 
主机 搞 要 -Os: Unknown OS; PORT/TCP: 21, 25, 53, 80, 110, 135, 1025, 8080 


[doman (53/tcp) 


美 型 端口 /服务 安全 漏 润 及 解决 方案 | 


提示 ‘www {(B0/tcp) 开放 服务 


5-14 ”扫描 报告 


册 on 由 
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3. 使 用 X-scan3.3 检测 系统 用 户 以 及 共享 信息 
(1) 选择 扫描 模块 ， 如 图 5-15 所 示 。 


| 插件 版 本 : 1.2 
| 插件 作者 : 忆 acier 


a 目 上 可 
本 、 开 放 吴 口 
| 疙 、 入 让 上 玉 归 和 吕 汪 入 j: 
口 机 
SMWMP 相 关 设 置 上 3 
了 TBI0S 相 关 设置 mua 
漏洞 检测 脚本 设置 
C6I 相 关 设 置 
字典 文件 设置 


5-15 ”选择 扫描 模块 119 


(2) 设置 NETBIOS 信息 ， 如 图 5-16 所 示 。 


Ne 检测 以 下 ETBIOS 信 息 : 


CGI 相关 设置 
字典 文件 设置 


图 5-16 设置 NETBIOS 信息 


(3) 扫描 过 程 如 图 5-17 所 示 。 
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[Sse 53.3 G60 > 
文件 如 ) 设置 四 查看 &) 工具 QD) Language 帮助 加 ) 
|@|wm 目 | 图 | 国志 | 回 
日 错 127.0.0.1 
日 - 编 开放 服务 127.0.0.1 16 16 3 正在 鉴别 开放 服务 .. 
© softep 
二 ED" 服务 运行 : 
日 - 目 25/tep 
图 “sntp" 服 务 可 能 
E-@ ll0/tep 
轩 pop3" 服 务 可 能 
日 - 目 21/tep 加 司 


“FTP" 服 务 运 行 : 
普通 信息 | 漏洞 信息 | 错误 信息 | 


“YEB "服务 运行 : [Scan v3.3 ~ 同 绍 安全 漏洞 委托 又 
"HTTP 代 理 " 服 务 | 安全 焦点 : http: /frew_ xfocus net (中 文 站 )，http://wew. xfocus. org 换文 站 ) 


ER 
Ea ot 


“127.0.0.1” 
汪 1]: 正在 检测 “开放 服务 ” 


避 
At e/a host thread: 1/10，Corrent/Waxinom thread: 3/100，Tine(s): 21 


图 5-17 扫描 过 程 
(4) 扫描 完成 后 查看 生成 的 报告 ， 如 图 5-18 所 示 。 


SO [Br es dT RAS 3oe\27.0. 01 rort hal allslxlli:- lz 
2 硬 x-e:u aerort 从 -全 - ” 
主机 检测 结果 
127.0.0.1 发 现 安全 提示 
主机 摘要 OS; Unknown OS; PORT/TzP: 21, 25, 53, 80, 110, 135, 1025, 8080 
大 厨 而 二 | 
服务 漏洞 
一 
[doman (3p) | 慨 现 安全 提示 
类 型 端口 /服务 安全 漏洞 及 解决 方案 
提示 mw [BO/tep) 开放 服务 
WEB "服务 运行 于 该 口 
BANNER 信 息 : 
IHTTP/1.1 200 OK 
i 国 
IE] EY 


5-18 ”扫描 报告 


(5) 扫描 结果 如 图 5-19 所 示 。 


册 on 滤 


安全 事件 处 理 


"四 四 人身 | 交 四 天 二 昌 作 过 | 
地 址 加 | 区] C:\Documents and SettingstAdministratorl 夏 面 MX-5canrv3.3jogl27_0_0_1_report.html 他 苇 到 | 链接 ”| 


本 告 netbios-ssn (139Rcp) NetBios 信 息 

[服务 器 时 间 ] 

|01-18-2007 01;2;35 GMT 
NetBios 信 息 
[网 络 共享 资源 列表 Level 1];: 
JPc$; 进程 间 通 信 (IPC$) - [远程 IPC] (System 
ADMIN$: 三 盘 - [远程 管理 ] (5ystem) 
(C$; 磁盘 - [默认 共享 ] (System) 


国 告 jnetblosssn (139ftcp) 


| 警 此 netbios-ssn (139ftcp) NetBios 信 息 

[网 络 用 户 列表 Level 20]: 

站 tor(ID:: | as 
行 登 录 靶 本 口 

区 用 


GuesktIDi0x000001F5) - [ 供 来 宾 访问 计算 机 或 访问 域 的 内 置 帐户 
用 户 标 记 ; 执行 登录 脚本 帐号 被 禁止 允许 空 口令 | 口 $ 永 不 过 | 


其 
| 帐户 类 型 : 标准 帐户 | 


(a) 


文件 (编辑 (E) 查看 (VW) 收藏 (a) 工具 (TD) 帮助 
bel ld” NE RI Me hana ot Ne 二 

| 蝴 直 Dj [2] C:\Documents and Settngs\Admnstr or\ Tx-Scan-v3. 3No0\127.0.0_1_report.html 了 ] 大 到 | 乌拉” 
USER ID; 0x000001f5, GROUP ID: 0x00000201 之 


警 省 netblos-ssn (139jtcp) NetBlos 信 息 
[可 地 组 列表 Level 1]: 


IAdministrators ~ ppd et 
|SNOWANGEVAdministrator 


ss | 


6adaup Operators - [备份 拘 作 员 为 了 备份 或 还 原文 件 可 以 葵 代 安全 限制 ] 
Guests - [ 按 默 认 值 ， 来 宾 嘴 用 户 胡 的 成 员 有 同等 访问 权 ， 但 来 启 帐 户 的 限 
制 更 多 ] 

SNDWANGEVGuest - 用 户 帐号 


Power Users - [权限 高 的 用 尸 天 有 最 高 9 管理 权限 ， 但 有 限制 因此， 权限 
高 的 用 户 可 以 运行 径 过 证 明 的 文件 ， 也 可 以 运行 继承 应 用 程序 ] 


Repicator - [支持 嫩 中 的 文件 复制 ] 


Users - [用 户 无 法 进行 有 意 或 无 意 的 改动 。 因 此 ,用 户 可 以 运行 经 过 证 明 的 
文件 ,但 不 能 运行 大 多 数 继承 应 用 程序 ] 

NT AUTHORITYUNTERACTIVE - 知 各 扯 帐 号 

NTAUTHORITYWuthenticated Users - 知名 组 帐号 


未 知 驱 动 探索 ,专注 成 斌 专业 


(b) 


5-19 ”扫描 结果 


DDos 对 电子 商务 网 站 的 攻击 


实验 内 容 : 
模拟 使 用 DDos 对 电子 商务 网 站 的 攻击 
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实验 步骤 : 
(1) 打开 资源 管理 器 查看 资源 占用 情况 ， 如 图 5-20 所 示 。 
(2) 攻击 前 ， 访 问 目标 网 站 查看 是 否 能 很 快 登录 。 
(3) 设置 攻击 目标 ， 如 图 5-21 所 示 。 
旦 Tindors 任务 管理 器 =|DIx| 
文件 选项) 查看 Q0)， 帮助 
应 用 程序 | 进程 ”性 能 “| 联网 | 用户 | 
CPV 使 用 CPV 使 用 记录 
= : 
信用 一 “页面 文件 借用 记录 -= 二 二 目的 IF: [192. 168.1. 101 
[ror 关 型 ee 二 | 
当前 上 村 [0 
总 数 物理 内 存 kK) 持续 时 长 上 一 卫 政 
句柄 数 h4809 | | 总 数 
由 到 让 2 2 = 
内容 使 用 0 核心 内 存 0 上 一 PR 
曾 1 和 Sw 和 [Eee | 后 由 


S-20 ”资源 管理 器 


(4) 测试 攻击 效果 ， 如 图 5-22 所 示 。 


ETEETEERTTTTTTTTTTTT 3 > 


文件 ”编辑 (E) ”查看 V) 收藏 (8) 工具 (D 帮助 (H) 


+PFRE -加 上 日 二 | 筷 打 甸 收 京 天 硬 捍 作 地 | 同名 


| 时 点: 伪造 源 IF 拒绝 服务 多 路 循环 广播 


5-21 设置 攻击 目标 


地 址 {0) [ 因 http:jniohtl987.3322.orol 


| 到 该 下 无 法 呈 示 


您 要 查看 的 页 当前 不 可 用 。 网 站 可 能 过 到 | 技术 问题 ， 或 者 您 需要 调整 浏览 
器 设置 。 


请 尝试 以 下 操作 : 


。 单 击 [四 出 新 按 蛆 ,或 以 后 再 试 。 

。 如 果 悠 已 经 在 地 址 栏 中 输入 该 网 页 的 地 址 ， 请 确认 其 拼写 正确 。 

。 要 查看 连接 设置 ， 请 单 击 工具 菜单 ， 然 后 单 击 Internet 选 
项 。 在 连接 选项 卡 上 ， 单 击 局 域 网 设置 。 这 些 设置 应 该 与 悠 局 
域 网 (LAN) 管 理 员 或 Internet 服务 提供 商 CsP) 所 提供 的 相 匹 
配 。 

。 如 果 您 的 网 络 管理 员 人 允 话 ,出 crosoft Windows 可 以 检查 您 的 网 
络 并 自动 查找 网 络 连 接 设置 . 
加 果 您 希望 Yindows 进行 查找 ， 
请 单 击 @Q 检 测 同 络 设置 

。 某 些 站 点 要 求 126- 位 的 连接 安全 性 。 单 击 帮 助 菜单 ， 然 后 单 击 
关于 Internet Erplorer 可 以 查看 您 所 安装 的 安全 强度 。 

。 如 果 您 要 访问 某 安全 站 点 ,请 确保 您 的 安全 设置 能 够 支持 ,请 单 
击 工具 菜单 ， 然 后 单 击 Internet 选项 。 在 “高 组 ”选项 卡 
上 ,滚动 到 “安全 ”部 分 ， 复 选 SSL 2.0、 SSL 3.0、 TIS 1.0、 


岁 ] 充 毕 


图 5-22 测试 攻击 效果 


山上 由 
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(5) 查看 资源 占用 ， 如 图 5-23 所 示 。 
(6) 停止 攻击 ， 如 图 5-24 所 示 。 
二 |Gzxl 
文件 @， 选 项 查看 中 下 助人 D 
应 用 程序 | 进程 性 稻 联网 | 用 户 | 
FCPV 使 用 FCPV 使 用 记录 
. Ed| 
[于 使 用 一 一 | 页面 六 件 使 用 记录 一 一 一 一 一 一 一 一 = 
BE [iron 
[ER 
[全 | 站 一 当前 上 |「 [IO Xl 
名 各 数 604 | | 本 用 站 e282 ts I A, Er Eu 
进程 数 43 | | 系统 强 存 108800 ae 二 一 
是 加 642624 Ey 9 59320 重量 人 _ 三 | jE 
峰值 882832 | | 未 分 页 2 毒 些 @) | 停 EG) ] 隐 亮 中 
炭 程 数 : 43 。 [CFV 使 用 ;100% ”| 内 存 使 用 : 627W / 1257W  。 才 | ism ey 
图 5-23 查看 资源 利用 图 5-24 ”停止 攻击 


re . 123 
(7) 停止 攻击 后 ， 可 成 功 访问 网 站 ， 如 图 5-25 所 示 。 
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图 5-25 成 功 访问 网 站 


第 6 章 访问 控制 与 权限 设置 


。 理解 访问 控制 的 基本 概念 
。 掌握 常见 的 访问 控制 技术 
e 识别 与 比较 访问 控制 模型 
。 识别 常见 攻击 类 型 ， 并 熟悉 相应 解决 办 法 


6.1) 访问 控制 基本 概念 


访问 控制 是 一 系列 用 于 保护 系统 资源 的 方法 和 组 件 ， 依 据 一 定 的 规则 来 决定 不 同 用 
户 对 不 同 资源 的 操作 权限 ， 可 以 限制 对 关键 资源 的 访问 ， 避 免 非法 用 户 的 入 侵 及 合法 用 
户 误 操 作对 系统 资源 的 破坏 。 访 问 控制 提供 了 系统 的 完整 性 和 保密 性 。 

访问 控制 由 4 部 分 组 成 : 主体 、 客 体 、 访 问 操作 和 访问 监视 器 。 主 体 指 想 要 访问 系 
统 资源 的 用 户 或 进程 ， 由 它 发 起 访问 请 求 。 客 体 指 主体 试图 访问 的 资源 ， 客 体 可 以 是 文 
件 或 内 存 、 打 印 机 、 扫 描 仪 这 样 的 资源 。 访 问 操作 有 很 多 种 的 形式 ， 包 括 网 络 访问 、 服 
务 器 访问 、 内 存 访 问 以 及 方法 调用 。 合 理 的 访问 控制 策略 目标 是 只 允许 授权 主体 访问 被 
允许 访问 的 客体 。 

图 6-1 表示 一 个 访问 控制 的 一 般 过 程 。 主 体 创建 一 个 访问 系统 资源 的 访问 请 求 ， 然 
后 将 这 个 请 求 提 交 给 访问 监视 器 。 访 问 监 视 器 通过 检查 一 定 的 访问 策略 ， 决 定 是 否 允 许 
这 个 访问 请 求 。 如 果 主 体 的 访问 请 求 符合 访问 策略 ， 主 体 就 被 授权 按照 一 定 的 规则 访问 


客体 。 
主体 而 间 访问 监视 器 TT 客体 


访问 请 求 访问 请 求 授权 
图 6-1 访问 控制 的 一 般 过 程 


C2 访问 控制 规则 的 制定 原则 


制定 合理 的 访问 控制 规则 是 访问 控制 有 效 实施 的 基础 ， 对 保护 系统 安全 起 着 重大 作 
用 。 在 制定 访问 控制 规则 时 一 般 要 遵守 3 条 原则 。 

1. 最 小 特权 原则 

最 小 特权 原则 是 指 主体 仅 只 被 允许 对 完成 任务 所 必需 的 那些 客体 资源 进行 必要 的 操 
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作 ， 此 外 不 能 对 这 些 资源 进行 任何 其 他 的 操作 ， 同 时 也 不 能 访问 其 他 更 多 的 资源 。 例 如 
学 校 期 末 考 试 成 绩 数 据 库 对 于 不 同 的 访问 者 设置 了 不 同 的 访问 权限 。 一 个 学 生 访 问 数据 
库 的 时 候 就 只 有 查询 成 绩 的 权限 。 而 作为 老师 ， 除 了 拥有 查询 的 权利 外 ， 还 拥有 成 绩 上 
传 的 权利 。 这 个 例子 就 很 好 地 说 明了 最 小 特权 原则 。 最 小 特权 原则 能 够 防止 主体 超出 访 
问 权 限 的 越权 行为 ， 同 时 也 避免 了 误 操 作对 客体 的 威胁 。 

2. 职责 分 离 原则 

在 访问 控制 系统 中 ， 不 能 让 一 个 管理 员 拥 有 对 所 有 主客 体 的 管理 权限 。 要 把 整个 系 
统 分 为 儿 个 不 同 的 部 分 ， 把 每 个 部 分 的 管理 权限 交 了 予 不 同 的 人 员 。 这 样 可 以 避免 一 个 人 
由 于 权利 过 大 ， 滥 用 职权 ， 进 而 对 系统 造成 威胁 。 可 以 设置 系统 管理 员 ， 系 统 安全 员 和 
安全 审计 员 ， 使 其 相互 监督 、 相 互 制约 。 

3. 多 级 安全 原则 


系统 应 该 对 访问 主体 及 客体 资源 进行 分 级 分 类 管理 ， 以 此 保证 系统 的 安全 性 。 在 实 


资源 进行 访问 。 


6.3) 访问 控制 分 类 


不 同 的 访问 控制 策略 提供 不 同 的 安全 水 平 ， 安 全 管理 员 应 根据 组 织 的 实际 情况 选择 
最 适合 的 访问 控制 来 提供 适合 的 安全 级 别 。 除 了 技术 的 因素 ， 在 实施 访问 控制 的 时 候 ， 
还 要 相应 提高 组 织 成 员 的 安全 意识 ， 使 其 自觉 接受 并 遵守 访问 控制 规则 。 不 管 访 问 控制 
规则 是 多 么 严密 ， 如 果 得 不 到 有 效 执行 ， 其 安全 价值 还 是 会 大 打折 扣 。 同 时 在 实施 访问 
控制 时 ， 还 要 考虑 到 用 户 实际 操作 的 便捷 性 ， 要 在 安全 性 和 便捷 性 之 见 达到 平衡 。 


@ -6.3.1 自主 访问 控制 ， 


自主 访问 控制 是 指 由 客体 资源 的 所 有 者 自主 决定 哪些 主体 对 自己 所 拥有 的 客体 具有 
访问 权限 ， 以 及 具有 何 种 访问 权限 。 自 主 访问 控制 是 基于 用 户 身份 进行 的 。 当 某 个 主体 
请 求 访问 客体 资源 时 ， 需 要 对 主体 的 身份 进行 认证 ， 然 后 根据 相应 的 访问 控制 规则 赋予 
主体 访问 权限 。 自 主 访问 控制 是 目前 计算 机 系统 实现 最 多 的 访问 控制 机 制 ， 比 较 流行 的 
UNIX 系统 就 是 利用 自主 访问 控制 机 制 实现 对 系统 资源 的 管理 。 

由 于 这 种 机 制 允许 由 资源 的 所 有 者 自主 对 所 拥有 的 资源 进行 管理 ， 因 此 更 加 灵活 ， 
实施 更 加 方便 ， 适 合 于 对 安全 性 不 高 的 环境 。 然 而 ， 这 种 方法 更 容易 造成 信息 的 泄露 ， 
并 且 存 在 着 用 户 管理 困难 ， 资 源 管理 分 散 的 缺点 。 


@ - .6.3.2 强制 访问 控制 -~ 


在 强制 访问 控制 中 ， 每 一 个 主体 和 客体 都 有 自己 的 安全 标记 ， 基 于 主客 体 的 安全 标 
记 实 施 相 应 的 访问 控制 。 安 全 标记 通常 有 4 个 不 同 的 等 级 ， 分 别 是 公开 、 敏 感 、 秘 密 和 
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机 密 。 在 这 种 方法 中 ， 主 客体 安全 等 级 的 赋予 、 修 改 以 及 访问 控制 规则 都 是 由 系统 强制 
控制 的 ， 因 此 ， 安 全 性 更 高 。 但 正 是 由 于 同样 的 原因 ， 这 种 方法 的 灵活 性 较 差 。 

强制 访问 控制 是 基于 规则 进行 的 .依据 主体 和 客体 的 安全 级 别 来 制定 访问 控制 规则 ， 
决定 一 个 访问 请 求 是 被 接受 还 是 被 拒绝 。 组 织 的 实际 情况 不 同 ， 因 此 设置 的 访问 控制 规 
则 也 不 相同 ， 例 如 在 有 些 组 织 的 访问 控制 规则 中 ， 标 记 为 “秘密 ”等 级 的 主体 只 能 访问 
同样 标记 为 “秘密 ”的 客体 。 而 另 一 种 情况 可 能 是 ， 标 记 为 “秘密 ”等 级 的 主体 除了 可 
以 访问 标记 为 “秘密 ”的 客体 之 外 ， 还 可 以 访问 安全 等 级 更 低 的 客体 。 

除了 主体 的 安全 级 别 需要 与 客体 的 安全 级 别 匹 配 以 外 ， 很 多 系统 还 要 求 主体 拥有 对 
客体 的 访问 需求 。 这 个 访问 需求 说 明 主体 拥有 访问 特定 客体 来 完成 任务 的 权限 。 因 此 ， 
访问 是 基于 安全 级 别 和 特定 的 任务 需求 而 被 授予 的 。 


@ - 6.3.3 基于 角色 的 访问 控制 、 

随 着 安全 需求 的 发 展 ， 出 现 了 第 三 种 常见 的 访问 控制 类 型 ， 即 基于 角色 的 自主 访问 
控制 模型 。 这 种 机 制 在 主体 和 访问 权限 之 间 引 入 了 角色 的 概念 ， 用 户 与 特定 的 一 个 或 多 
个 角色 向 联系 ， 角 色 与 一 个 或 多 个 访问 权限 相 联系 。 这 里 所 谓 的 角色 就 是 一 个 或 多 个 用 
户 可 执行 的 操作 的 集合 ， 这 体现 了 角色 访问 控制 的 基本 思想 ， 即 通过 用 户 在 组 织 中 担当 
的 角色 来 授予 用 户 相 应 的 访问 权限 。 举 个 例子 ， 在 一 个 公司 中 ， 董 事 长 这 个 角色 拥有 其 
相应 的 权限 。 如 果 张 三 现在 担任 公司 的 董事 长 ， 那 么 张 三 就 拥有 董事 长 的 权限 对 系统 资 
源 进 行 访问 操作 。 如 果 在 不 久 的 将 来 ， 董 事 长 换 为 李 四 来 担任 ， 那 么 李 四 就 具有 了 董事 
长 的 权限 ， 而 张 三 就 不 在 具有 这 样 的 权限 了 。 

从 上 面 的 例子 中 可 以 看 到 基于 角色 访问 控制 的 优势 。 那 就 是 在 系统 发 生变 化 时 只 需 
要 修改 主体 与 角色 或 角色 与 访问 操作 权限 的 对 应 关系 就 可 以 了 , 工作 量 大 大 减少 。 因此 ， 
这 种 方法 经 常用 在 组 织 中 角色 较 多 ， 且 人 事变 动 频繁 的 环境 。 

基于 栅 格 的 访问 控制 是 非 自 主 访问 控制 的 变形 。 在 这 种 访问 控制 中 ， 主 体 和 客体 之 
间 的 每 个 关系 都 有 一 系列 的 访问 边界 。 这 些 访问 边界 定义 了 允许 访问 客体 的 条 件 和 规则 。 
在 大 多 数 情况 下 ， 访 问 边界 定义 了 符合 安全 等 级 和 安全 标签 限制 的 最 低 限 和 最 高 限 。 


6.4) 访问 控制 实现 技术 


访问 控制 的 实现 技术 是 指 为 了 检测 和 防止 系统 中 的 未 授权 访问 ， 对 资源 予以 保护 所 
采取 的 软 硬 件 措施 和 一 系列 的 管理 措施 等 手段 。 实 现 访 问 控制 的 技术 主要 有 3 种 。 


1 访问 控制 矩阵 


访问 控制 矩阵 是 实现 访问 控制 最 初 的 概念 模型 。 任 何 的 访问 控制 策略 最 终 均 可 被 模 
型 化 为 访问 控制 矩阵 形式 。 在 访问 控制 矩阵 中 ， 行 对 应 访问 主体 ， 列 对 应 客体 资源 ， 甜 
阵 中 的 每 个 单元 表明 了 主体 对 客体 资源 相应 的 访问 权限 。 表 6-1 是 一 个 访问 控制 矩阵 的 
实例 。 

从 下 表 中 可 以 看 出 ， 主 体 1 对 客体 1 的 访问 权限 为 “拥有 ”“ 读 ”“ 写 ”。 

但 是 ， 访 问 控制 矩阵 也 存在 着 一 定 的 缺陷 。 在 实际 组 织 中 ， 由 于 主体 对 很 多 客体 资 
源 都 不 具有 访问 权限 ， 必 然 导 致 矩阵 过 于 稀疏 ， 不 利于 实施 访问 控制 。 


访问 控制 与 权限 设置 
表 6-1 ”访问 控制 矩阵 实例 
客体 1 客体 2 客体 3 客体 4 
主体 1 拥有 拥有 
读 
写 写 写 
主体 2 拥有 拥有 
主体 3 拥有 拥有 
读 读 读 读 
写 写 写 


2. 访问 控制 表 


访问 控制 表 以 客体 资源 为 中 心 。 在 系统 中 ， 首 先 把 客体 排 成 一 个 表 ， 然 后 在 每 个 客 
体 后 面 附 加 一 个 链表 , 表明 哪些 主体 对 此 客体 具有 访问 权限 以 及 具有 什么 样 的 访问 权限 。 
图 6-2 是 一 个 访问 控制 表 的 实例 。 


客体 1 一 ~| 用 户 C 


O 


6-2 访问 控制 表 实 例 
从 图 6-2 中 可 以 看 出 ， 用 户 A、 用 户 B、 用 户 C 对 客体 1 具有 访问 权限 ， 其 中 用 户 
A 的 访问 权限 为 “ 读 ” 和 “ 写 ”, 用户 也 的 访问 权限 为 “ 写 ” 用 户 C 的 访问 权限 为 “ 读 ”。 
3. 能 力 关 系 表 
能 力 关 系 表 以 访问 主体 为 中 心 。 在 系统 中 ， 首 先 把 主体 排 成 一 个 表 ， 然 后 在 每 个 主 
体 后 面 附加 一 个 链表 ， 表 明 主 体 对 哪些 客体 资源 具有 访问 权限 以 及 具有 什么 样 的 访问 权 
限 。 图 6-3 是 一 个 能 力 关 系 表 的 实例 。 


用 户 A 一 >| 客体 1 客体 2 客体 3 
读 读 
号 写 
所 = © 


6-3 ”能 力 关系 表 
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从 图 6-3 中 可 以 看 出 ， 用 户 A 拥有 对 客体 1、 客 体 2、 客 体 3 的 访问 权限 ， 对 客体 1 
的 访问 权限 为 “ 读 ” 和 “ 写 ”, 对 客体 2 的 访问 权限 为 “ 读 ” 对 客体 3 的 访问 权限 为 “ 写 ”。 


6.5) 访问 控制 管理 


访问 控制 管理 可 以 同时 使 用 集中 式 和 分 布 式 的 方式 来 实施 。 最 好 的 管理 方式 取决 于 
系统 需要 以 及 存储 于 计算 机 系统 中 信息 的 敏感 度 。 


1. 集中 式 访 问 控制 


集中 式 访问 控制 管理 通过 一 个 中 心 访问 控制 单元 来 处 理 系统 所 有 的 访问 请 求 。 由 于 
只 需要 在 一 个 地 点 进行 对 客体 的 管理 ， 因 此 实施 简单 。 但 这 种 方法 也 存在 着 不 容 忽视 的 
缺点 。 一 方面 ， 如 果 中 心 访问 控制 单元 失效 ， 那 么 所 有 的 访问 请 求 都 得 不 到 处 理 ， 进 而 
造成 所 有 的 客体 资源 都 不 可 用 。 另 外 ， 在 系统 访问 请 求 较 多 的 情况 下 ， 中 心 访问 控制 单 
元 容易 成 为 系统 的 瓶颈 ， 影 响 系统 的 正常 功能 。 

集中 式 访问 控制 的 一 个 典型 应 用 是 RADIUS 协议 。 在 RADIUS 服务 器 上 , 根据 相应 
的 方法 对 用 户 身份 进行 验证 ， 然 后 根据 系统 的 访问 控制 规则 处 理 用 户 的 访问 请 求 。 


2. 分布 式 访问 控制 


分 布 式 访问 控制 与 集中 式 访问 控制 相反 ， 系 统 中 存在 多 个 地 点 都 可 以 对 同一 个 客体 
资源 进行 管理 。 因 此 ， 这 种 方法 更 加 稳定 ， 不 存在 单 点 故障 或 者 单 点 访问 问题 。 然 而 ， 
这 种 方法 实现 更 加 复杂 ， 工 作 量 更 大 。 通 常 分 布 式 访问 控制 使 用 安全 域 来 实施 。 一 个 安 
全 域 指 的 是 一 个 信任 的 范围 或 一 些 主体 和 客体 ， 加 上 一 些 事先 定义 的 访问 规则 和 权限 。 
一 个 主体 必须 包含 在 可 信 域 中 才能 访问 客体 。 这 种 方法 使 排除 一 个 不 可 信 的 主体 变 得 更 
加 容易 ， 但 是 由 于 安全 规则 精细 粒度 的 增加 使 得 管理 变 得 更 难 。 


6.6) 访问 控制 模型 


访问 控制 模型 给 出 了 系统 安全 策略 概念 化 的 视图 。 它 可 以 把 安全 策略 的 目标 、 命 令 
映射 到 特殊 的 系统 事件 上 。 这 种 映射 过 程 考虑 到 了 安全 控制 的 形式 化 定义 和 详细 说 明 。 
总 之 ， 访 问 控制 模型 把 复杂 的 策略 分 解 为 一 系列 易 管理 的 步骤 。 近 些 年 ， 已 经 开发 出 多 
种 不 同 的 访问 控制 模型 。 一 般 而 言 ， 大 多 数 完整 的 安全 策略 应 用 都 会 使 用 多 种 访问 控制 
模型 。 


@-- 6.6.1 状态 机 模型 - 


\ 
CPs ’ 


状态 机 模型 是 一 系列 状态 以 及 特定 状态 转移 的 组 合 。 当 客体 的 状态 发 生变 化 的 时 候 ， 
就 会 在 两 个 状态 之 间 发 生 状态 转移 。 状 态 机 模型 通常 用 来 模拟 现实 的 实体 以 及 实体 之 间 
状态 的 转移 。 当 一 个 主体 请 求 访问 某 个 客体 时 ， 必 须 有 一 个 事先 定义 的 允许 客体 从 关闭 
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的 不 可 读 状 态 ， 变 为 开放 状态 的 转移 函数 。 图 6-4 给 出 了 一 个 简单 状态 机 的 图 示 。 状 态 
用 圆圈 来 代表 ， 转 移 函 数 用 箭头 来 代表 。 


图 6-4 ”状态 机 模型 


-- .6:6:2”Bell-LaPadula 模型 -、， 

Bell-LaPadula 模型 开发 于 20 世纪 70 年 代 ， 使 用 访问 控制 表 和 安全 标签 实现 客体 安 
全 性 ， 是 典型 的 保密 型 多 级 安全 模型 。 在 早期 的 安全 模型 中 ， 只 要 主体 的 安全 级 别 高 于 
客体 的 安全 级 别 ， 就 可 以 对 客体 进行 访问 。 这 样 很 容易 造成 信息 的 泄露 ， 即 高 安全 级 别 
的 主机 将 敏感 信息 写 入 较 低 安全 级 别 的 客体 中 ， 而 较 低 安全 级 别 的 主体 通过 读 操作 就 可 
以 获得 这 些 信 息 。 

Bell-LaPadula 模型 很 好 地 避免 了 这 一 点 。 其 基本 思想 是 “无 上 读 , 无 下 写 ”。 也 就 是 
只 有 当主 体 的 安全 级 别 高 于 客体 的 安全 级 别 时 ， 才 能 对 客体 进行 读 操作 ， 只 有 当主 体 的 
安全 级 别 低 于 客体 的 安全 级 别 时 ， 才 能 对 客体 进行 写 操作 。 表 6-2 给 出 了 Bell-LaPadula 
模型 的 控制 原则 。 这 种 方法 有 效 避 免 了 信息 流向 更 低 的 安全 级 别 流出 ， 实 现 了 信息 的 保 
密 性 保护 ， 被 广泛 运用 到 需要 对 信息 进行 严格 保密 的 环境 。 

表 6-2 Bell-LaPadula 模型 


访问 控制 原则 通用 名 字 描述 

简单 安全 规则 无 上 读 给 定安 全 级 别 的 主体 不 能 读 取 
安全 级 别 更 高 的 客体 的 数据 

* 安全 规则 无 下 写 给 定安 全 级 别 的 主体 不 能 向 安 
全 级 别 更 低 的 客体 写 入 数据 


@--6.6.3” Biba 模型 -、 


7 


Bell-LaPadula 模型 很 好 地 解决 了 信息 的 保密 性 问题 ， 但 也 同时 存在 着 低 安全 级 别 的 
用 户 可 以 对 高 安全 级 别 的 用 户 数据 进行 修改 、 删 除 等 操作 ， 给 信息 的 完整 性 带 来 威胁 。 
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Biba 模型 的 开发 正 是 为 了 实现 对 信息 的 完整 性 保护 。 

Biba 模型 的 基本 思想 是 “无 下 读 ， 无 上 写 ”。 也 就 是 只 有 当主 体 的 安全 级 别 低 于 客 
体 的 安全 级 别 时 ， 才 能 对 客体 进行 读 操作 ， 只 有 当主 体 的 安全 级 别 高 于 客体 的 安全 级 别 
时 ， 才 能 对 客体 进行 写 操作 。 表 6-3 给 出 了 基本 Biba 模型 的 控制 原则 。 由 于 对 信息 完整 
性 的 保护 ， 这 种 模型 更 加 适用 于 银行 、 电 信 等 商业 领域 。 


表 6-3 Biba 模型 
访问 控制 原则 通用 名 字 描述 
简单 安全 规则 无 下 读 给 定安 全 级 别 的 主体 不 能 读 取 
安全 级 别 更 低 的 客体 的 数据 
* 安全 规则 无 上 写 给 定安 全 级 别 的 主体 不 能 向 安 
全 级 别 更 高 的 客体 写 入 数据 


@-- 6.6.4 Clark-Wilson 模型 - > 

Clark-Wilson 模型 是 在 Biba 模型 之 后 开发 出 来 的 。 与 Biba 模型 和 Bell-LaPadula 模 
型 不 同 的 是 ，Clark-Wilson 模型 并 不 是 建立 在 状态 机 模型 上 的 ， 而 是 采用 一 种 不 同 的 方 
法 来 保证 数据 的 完整 性 。Clark-Wilson 模型 通过 少量 关系 紧密 的 访问 控制 程序 来 限制 所 
有 的 访问 控制 。 这 种 模型 在 访问 程序 中 使 用 安全 标签 来 保证 对 客体 的 访问 ， 更 适合 于 数 
据 完 整 性 更 加 重要 的 商业 环境 中 。 

为 了 更 好 的 理解 模型 的 访问 路 径 ，Clark-Wilson 模型 定义 几 个 必需 的 术语 。 

口 受 控 数据 (CDI) 系统 中 的 受 控 数 据 。 

口 非 受 控 数 据 (UDI) 系统 不 受 控制 的 数据 条 目 〈 例如， 数据 输入 或 输出 )。 

口 “完整 性 验证 过 程 (IVP) 核查 受 控 数据 完整 性 的 程序 。 

口 变换 程序 (TP) 用 来 改变 受 控 数据 的 有 效 状 态 。 

Clark-Wilson 模型 确保 所 有 的 非 受 控 数 据 经 过 完整 性 验证 过 程 的 核实 ， 然 后 经 由 变 
换 程 序 提 交 给 系统 。 所 有 对 受 控 数 据 的 修改 都 要 经 由 IVP 和 TP 来 进行 。 


6.7) 文件 和 数据 所 有 权 


文件 和 数据 可 能 包含 着 重要 的 信息 。 这 些 重要 的 信息 应 该 是 保护 的 重点 。 可 以 通过 
为 每 一 个 重要 的 信息 来 设 定 不 同 的 安全 级 别 来 保护 其 安全 。 每 一 个 文件 或 数据 单元 ， 应 
该 至 少 有 3 个 责任 方 。 不 同 的 责任 方 有 着 不 同 的 安全 要 求 。 最 常见 的 是 数据 所 有 者 、 数 
据 托管 者 和 数据 使 用 者 。 每 一 方 拥有 各 自 的 责任 来 支持 系统 的 安全 策略 。 


1. 数据 所 有 者 
数据 所 有 者 具有 数据 保护 的 最 高 责任 。 数 据 所 有 者 通常 是 组 织 最 高 管理 者 ， 代 表 整 


组 织 来 行事 。 数 据 所 有 者 设置 数据 的 安全 级 别 并 且 选 择 数 据 托管 者 来 完成 对 数据 的 维 
六 如 果 发 生 安全 事件 ， 首 先 要 追究 数据 所 有 者 的 责任 。 
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2. 数据 托管 者 


数据 所 有 者 指派 数据 托管 者 根据 数据 安全 等 级 来 确保 安全 策略 。 数 据 托管 者 通常 是 
IT 部 门 的 成 员 ， 遵 循 明确 的 规程 来 保护 数据 ， 包 括 实施 和 维护 合适 的 控制 ， 设 置 备份 ， 
以 及 验证 数据 的 完整 性 。 


3. 数据 使 用 者 


数据 的 使 用 者 是 访问 数据 的 用 户 。 当 他 们 访问 数据 的 时 候 要 遵循 一 定 的 安全 策略 ， 
不 仅 要 遵守 安全 规程 ， 数 据 使 用 者 还 必须 认识 到 安全 规程 对 于 组 织 安全 的 重要 性 。 因 为 
缺少 对 控制 重要 性 的 理解 ， 用 户 常 使 用 捷径 绕 过 薄弱 的 安全 控制 。 一 个 组 织 的 安全 工作 
者 必须 不 断 努 力 ， 使 得 数据 使 用 者 意识 到 安全 以 及 安全 策略 、 安 全 规程 的 重要 性 。 


6.8) 相关 的 攻击 方法 


实施 访问 控制 最 主要 的 目的 是 阻止 对 敏感 数据 的 未 授权 访问 。 攻 击 者 主要 目的 是 访 
问 这 些 敏 感 的 数据 。 有 几 种 和 访问 控制 相关 的 攻击 类 型 。 最 主要 的 类 型 是 阻止 访问 控制 
或 旁 路 访问 ， 使 得 未 授权 的 主体 去 访问 客体 。 


1， 穷 举 攻 击 


穷 举 攻击 就 是 尝试 所 有 可 能 的 字母 组 合 来 满足 认证 口令 , 以 获取 对 客体 的 访问 权限 。 
在 这 种 攻击 中 ， 使 用 口令 猜测 程序 ， 不 断 向 系统 提出 登录 请 求 ， 并 且 在 每 一 次 请 求 时 使 
用 不 同 的 口令 ， 以 求 找到 正确 的 口令 。 穷 举 攻 击 的 一 个 变 体 是 竞争 拨号 。 这 种 攻击 中 ， 
程序 拨打 大 量 的 电话 号 码 ， 监 听 调 制 解 调 器 的 应 答 。 当 竞争 拨号 程序 发 现 了 一 个 调制 解 
调 器 做 出 了 应 答 ， 这 个 号 码 就 被 记录 下 来 用 于 攻击 。 

保护 系统 免 受 此 类 攻击 的 一 个 有 效 方法 是 主动 在 自己 的 系统 上 运行 穷 举 攻击 ， 以 此 
找到 系统 破绽 。 首 先 确信 系统 已 经 许可 执行 这 种 攻击 了 。 当 使 用 这 种 手段 来 保护 系统 的 
时 候 ， 实 际 上 已 经 破坏 了 安全 策略 。 另 外 ， 只 运行 一 次 是 不 够 的 。 一 旦 用 户 对 记忆 复杂 
的 口令 感到 疲惫 ， 或 是 发 现 使 用 口令 来 访问 Intemet 很 难 的 时 候 ， 就 会 使 用 简单 口令 以 
及 未 授权 的 调制 解 调 器 。 因 此 ， 要 定期 运行 穷 举 攻击 来 找到 利用 系统 缺点 的 用 户 。 

为 了 保护 系统 安全 ， 还 可 以 设置 监控 系统 来 监控 系统 不 正常 的 行为 ， 并 及 时 发 出 警 
报 。 当 然 还 可 以 设置 停工 阔 值 ， 使 得 用 户 在 一 定 次 数 的 登录 失败 之 后 ， 账 户 被 锁定 。 尽 
管 对 于 丢失 口令 的 用 户 ， 这 种 方法 有 点 令 人 泪 形 ， 可 是 却 能 很 好 地 对 抗 穷 举 攻击 。 


2. 字典 攻击 


字典 攻击 事实 上 就 是 穷 举 攻击 的 子 集 。 字 典 攻 击 并 不 尝试 所 有 的 口令 组 合 ， 而 是 从 
一 个 列表 或 字典 中 尝试 那些 常用 的 口令 。 很 容易 找到 那些 常用 的 用 户 ID 和 口令 。 抵抗 字 
典 攻 击 最 好 的 方法 就 是 使 用 较 强 的 口令 策略 。 口 令 策略 告诉 用 户 如 何 来 生成 一 个 口令 ， 
要 避免 什么 样 的 口令 。 通 过 生成 和 加 强 一 个 安全 性 较 高 的 口令 策略 ， 可 以 避免 口令 出 现 
在 口令 字典 中 。 一 旦 选择 了 口令 ， 要 定期 使 用 字典 攻击 来 检测 口令 的 安全 性 。 这 些 攻 击 
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不 像 穷 举 攻击 那样 集中 ， 能 够 使 人 清楚 地 认识 到 系统 中 的 哪些 用 户 遵 守 着 口令 策略 。 避 
免 以 明文 的 形式 发 送 口令 同样 可 以 防止 口令 的 泄露 ， 基 于 这 个 原因 ， 要 避免 使 用 HITP 
和 Telnet。 当 需要 向 一 个 网 站 发 送 口令 的 时 候 ， 使 用 另 一 种 协议 ， 例 如 HTTP-S。 


3. 欺骗 攻击 


另 一 种 针对 访问 控制 的 攻击 类 型 是 欺骗 攻击 。 攻 击 者 放置 一 个 伪造 的 登录 程序 来 迷 
用 户 , 骗取 用 户 ID 和 口令 。 这 种 方式 看 起 来 就 像 是 正常 的 登录 屏幕 ， 所 以 用 户 很 可 能 
供需 要 的 信息 。 程 序 并 不 会 把 用 户 连 接 到 所 请 求 的 系统 上 ， 而 是 返回 一 个 登录 失败 的 
提示 信息 。 事 实 上 ， 程 序 已 经 存储 或 者 是 转发 了 偷 来 的 用 户 认证 信息 。 接 下 来 才 会 出 现 
真正 的 登录 屏幕 。 这 种 方法 的 高 明之 处 在 于 当 用 户 面前 出 现 一 个 登录 失败 的 屏幕 时 ， 很 
少 有 人 会 想到 这 是 一 个 欺骗 攻击 。 

抵御 这 种 攻击 最 好 的 方法 是 在 用 户 和 服务 器 之 间 创 造 一 个 可 信 路 径 ， 来 减少 攻击 者 
在 用 户 和 服务 器 之 间 介 入 的 机 会 。 在 对 安全 要 求 极 高 的 环境 中 ， 用 户 应 该 检查 所 有 失败 
的 登录 请 求 ， 确 保 所 有 的 失败 都 进行 了 合适 的 记录 和 报告 。 对 于 阻止 和 检测 这 些 类 型 的 
攻击 ， 安 全 意识 在 此 起 到 了 很 重要 的 作用 。 


习 题 


矶 泥 


A. 状态 机 模型 
一 、 选 择 题 B. Bell-LaPadula 模型 
1 以 下 哪 一 项 不 是 通过 实施 访问 控制 来 阻 ee 

下 对 敏感 客体 进行 未 授权 访问 攻击 ? (  ) 人 


A. 欺骗 攻击 二 、 简 答题 
B. 暴力 攻击 
C. 穷 举 攻击 1. 什么 是 访问 控制 ， 其 一 般 过 程 是 什么 ? 
D. 字典 攻击 2. 列举 常见 的 访问 控制 模型 ， 并 说 明 其 原理 。 
2. 以 下 哪个 模型 通常 用 来 模拟 现实 的 实体 3. 访问 控制 中 都 有 哪些 常用 的 攻击 方法 ， 
以 及 实体 之 间 状 态 的 转移 ? ( 。 ) 其 原理 是 什么 ? 
课 后 实践 与 思考 


1. 举例 说 明 在 工作 中 所 遇 到 的 攻击 方法 ， 并 说 明 其 原理 。 
2. 说 明 您 所 在 的 单位 是 如 何 应 付 各 类 访问 控制 攻击 的 ? 


第 7 革 防火 墙 技术 


。 解释 路 由 器 、 代理 服务 器 和 防火 墙 为 计算 机 网 络 提供 的 边界 保护 
描述 防火 墙 3 种 主要 的 拓扑 结构 (堡垒 主机 、 屏 项 子 网 、 双 重 防火 墙 ) 
如 何在 不 同 的 环境 内 设置 合适 的 防火 墙 
设计 满足 组 织 工作 需要 和 安全 需求 的 防火 墙 过 滤 规 则 库 
解释 在 构建 防火 墙 规 则 库 的 过 程 中 ， 清 除 规则 和 隐形 规则 的 重要 性 
计算 机 安全 、 物 理 安 全 、 数 据 安 全 等 各 种 领域 都 认识 到 边界 安全 的 重要 性 。 网 络 安 
全 的 基本 责任 就 是 保护 网 络 的 边界 安全 ， 防 止 恶意 活动 的 破坏 。 
本 章 的 重点 就 是 保护 网 络 边界 安全 技术 的 应 用 。 读 者 将 会 了 解 到 如 何 使 用 路 由 器 、 
代理 服务 器 以 及 防火 墙 等 设备 建立 一 个 抵抗 恶意 攻击 行为 的 防护 系统 ， 同 时 介绍 虚拟 专 
用 网 如 何 使 在 保护 边界 之 外 的 用 户 获得 使 用 网 络 内 资源 的 能 力 。 


7.1) 边界 安全 设备 


网 络 设备 构成 了 网 络 边界 安全 的 核心 。 大 多 数 的 信息 安全 从 业者 在 业务 需求 、 经 济 
条 件 、 技 术 条 件 以 及 有 限 的 人 力 资 源 的 限制 下 ， 共 同 使 用 包括 路 由 器 、 代 理 网 关 以 及 防 
火 墙 在 内 的 各 种 设备 来 构建 、 维 持 和 检测 网 络 边 界 ， 达 到 尽 可 能 高 的 防护 水 平 。 

需要 注意 ， 在 构建 网 络 边 界 的 时 候 一 定 要 构建 一 个 可 被 管理 的 防御 体系 。 如 果 组 织 
内 的 人 员 只 够 用 来 有 效 地 管理 和 检测 少量 安全 设备 ， 那 么 最 好 的 选择 是 构建 一 个 有 限 系 
统 ， 而 不 是 建设 一 个 不 能 控制 的 大 规模 的 系统 。 实 际 上 ， 一 个 设置 不 合理 的 网 络 安全 设 
备 很 可 能 会 形成 网 络 的 一 个 威胁 ， 破 坏 整 个 网 络 的 安全 。 

在 这 一 部 分 ， 读 者 将 会 看 到 在 网 络 边 界 保护 中 使 用 的 3 种 主要 安全 设备 。 这 些 设备 
用 来 加 强 访问 控制 ， 防 止 恶意 活动 破坏 网 络 。 保 护 网 络 的 另外 一 个 重要 组 成 部 分 是 使 用 
入 侵 检测 系统 来 检查 对 网 络 边 界 的 成 功 渗透 。 


路 由 器 的 一 个 重要 作用 是 连接 网 络 , 并且 给 发 往 目 的 地 的 通信 流量 选择 合适 的 路 由 。 
在 保护 网 络 的 边界 安全 中 ， 路 由 器 同样 起 到 了 很 重要 的 作用 。 大 多 数 情况 下 ， 路 由 器 是 
用 户 从 因特网 进入 网 络 所 碰 到 的 第 一 个 物理 设备 。 因 此 ， 路 由 器 应 该 限制 进入 被 保护 网 
络 的 通信 流量 ， 以 此 来 加 强 网 络 安全 。 

路 由 器 确实 包含 一 些 安全 功能 。 例 如 ， 思 科 路 由 器 可 以 通过 为 不 同 的 传输 协议 和 网 
络 协议 定制 不 同 的 访问 控制 链表 (ACLs) 来 实现 相对 复杂 的 包 过 滤 。 路 由 器 同样 可 以 减 
少 其 他 边界 安全 设备 上 的 负载 ， 保 护 这 些 设备 免 受 拒绝 服务 攻击 。 例 如 ， 一 个 试图 攻破 
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防火 墙 的 恶意 攻击 者 可 能 会 使 用 网 络 流量 或 向 这 个 防火 墙 发 送 大 量 精心 制造 的 数据 包 来 
淹没 这 个 防火 墙 。 在 大 多 数 情况 下 ， 因 特 网 和 防火 墙 之 间 有 一 个 路 由 器 。 如 果 安 全 管理 
员 能 够 设置 这 个 路 由 器 使 它 拒绝 这 种 以 防火 墙 为 目标 的 数据 包 , 这 种 攻击 就 能 够 被 制止 。 

路 由 器 同样 可 以 阻止 对 一 个 网 络 的 欺骗 攻击 。 在 这 种 攻击 方式 中 ， 恶 意 攻 击 者 试图 
把 自己 伪装 成 网 络 的 内 部 人 员 ， 以 此 来 获得 对 一 个 网 络 的 越权 访问 。 攻 击 者 使 用 的 最 常 
见 的 一 种 方法 是 改变 他 地址 , 这 样 看 起 来 似乎 就 是 一 个 在 目标 网 络 内 部 的 地 址 。 路 由 器 
通过 检查 一 个 去 往 目标 网 络 的 数据 包 的 包头 ， 就 能 够 很 容易 地 检查 出 这 种 类 型 的 攻击 。 
例如 ， 考 虑 图 7-1 给 出 的 情况 ， 在 这 种 情况 下 ， 路 由 器 保护 着 北京 网 络 ， 这 个 网 络 的 专 
有 卫 地 址 是 123.116.0.0。 它 把 这 个 网 络 和 上 海 网 络 〈 这 个 网 络 的 专用 人 P 地 址 段 是 
114.80.0.0) 通过 一 个 专线 连接 在 一 起 。 同时 , 它 还 维持 着 北京 办 公 室 和 互联 网 之 问 的 连接 。 


北京 
123.116.0.0 


上 海 
11480.0.0 


7-1 路 由 器 保护 网 络 示意 图 


一 个 试图 阻止 欺骗 攻击 的 管理 员 会 考虑 到 两 种 情况 。 首 先 ， 要 保证 来 自 于 外 部 连接 
的 具有 123.116.0.0 地 址 段 人 P 地 址 的 通信 流量 不 能 进入 被 保护 的 网 络 。 任 何 这 样 的 数据 
包 几 乎 就 是 恶意 攻击 或 错误 系统 配置 的 标志 。 第 二 ， 管 理 者 应 该 对 这 个 路 由 器 进行 设置 
使 其 拒绝 任何 来 自 于 因特网 但 是 源 地 址 是 114.80.0.0 网 段 的 数据 包 。 任 何 来 自 于 上 海 网 
络 的 合法 通信 数据 包 应 该 通过 特定 的 网 络 连 接 。 如 果 一 个 具有 上 海 IP 地 址 的 数据 包 出 现 
在 路 由 器 因特网 的 接口 上 ， 这 很 可 能 同样 是 错误 网 络 配置 或 恶意 攻击 的 标志 。 

另外 ， 用 户 除了 要 保护 自己 的 网 络 免 受 欺 骗 攻 击 ， 同 样 还 应 该 采取 措施 来 保证 自己 
的 网 络 没有 被 用 来 作为 欺骗 攻击 的 发 射 点 ， 这 可 以 通过 使 用 出 站 过 滤 来 实现 。 当 实施 出 
站 过 滤 时 ， 用 户 路 由 器 除了 要 检查 进入 网 络 的 数据 包 ， 还 要 检查 离开 网 络 的 数据 包 。 要 
确保 离开 用 户 网 络 的 数据 包 拥 有 一 个 来 自 于 此 网 络 的 合法 他 地 址 。 在 图 7-1 中 ,任何 通 
过 这 个 路 由 器 离开 北京 网 络 的 数据 包 都 要 拥有 一 个 123.116 地 址 段 的 合法 人 P 地 址 。 如 果 
不 是 这 样 的 话 ， 说 明 黑 客 可 能 正在 利用 此 网 络 发 射 一 个 针对 外 部 网 络 的 攻击 。 这 种 情况 
同样 意味 着 用 户 的 网 络 上 可 能 出 现 越权 系统 或 错误 设置 的 系统 。 


@- -了 912 二 代理 服务 器 : -、 


在 政府 、 法 律 和 商业 应 用 中 ， 代 理 指 被 授权 代表 一 个 人 或 组 织 行事 的 另外 的 一 个 人 


志和 ~ 小 
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组 织 。 在 计算 机 网 络 中 ， 代 理 服务 器 以 类 似 的 方式 工作 。 计 算 机 工作 中 最 不 安全 的 情 
es 保护 的 内 网 中 的 客户 端 想 要 访问 位 于 不 可 信 系 统 中 的 资源 。 在 这 种 情形 下 ， 
不 可 信 系 统 可 能 执行 一 系列 非法 活动 ， 举 例如 下 。 

(1) 向 客户 端 系统 传递 恶意 代码 并 私自 运行 。 

(2) 获取 客户 端 系统 的 真实 卫 地 址 。 

(3) 识别 客户 端 系统 运行 的 软件 类 型 ， 查 找 软件 所 具有 的 潜在 漏洞 。 

图 7-2 给 出 了 这 种 典型 的 客户 /服务 器 的 相互 作用 方式 。 


主机 Web 服 务 器 
7-2 客户 /服务 器 作用 方式 


通常 ， 当 网 络 中 存在 代理 服务 器 时 ， 客 户 端 就 不 会 直接 访问 因特网 主机 。 相 反 地 ， 
它们 的 请 求 被 转发 给 代理 服务 器 ， 接 下 来 由 代理 服务 器 分 析 这 个 请 求 ， 然 后 决定 该 请 求 
是 否 是 可 允许 的 。 如 果 这 个 请 求 通过 了 批准 ， 代 理 服务 器 会 使 用 下 面 的 步骤 来 实现 这 个 
请 求 。 

(1) 代理 服务 器 首先 检查 自己 的 数据 缓冲 区 ， 确 认 在 之 前 它 是 否 为 客户 端 回答 过 相 
同 的 请 求 。 

(2) 如 果 服务 器 缓存 中 有 这 些 信息 ， 那 么 服务 器 考虑 这 些 信息 是 否 足 够 用 来 回答 客 
户 端 的 这 个 请 求 。 这 个 过 程 可 以 通过 对 数据 上 的 时 间 蕉 和 一 个 可 设置 的 阔 值 进行 比较 来 
完成 。 如 果 目 前 这 些 信 息 是 足够 的 ， 那 么 代理 服务 器 就 使 用 缓存 中 的 信息 来 回答 客户 端 
的 请 求 ， 过 程 结 束 。 

(3) 如 果 缓 存 中 的 信息 已 经 过 时 了 或 在 缓存 中 并 不 存在 被 请 求 的 信息 ， 那 么 ， 代 理 
服务 器 就 会 代表 客户 端 向 远程 的 Web 服务 器 发 起 一 个 请 求 。 这 个 Web 服务 器 并 不 知道 
代理 服务 器 的 存在 ， 它 只 是 把 代理 服务 器 当成 和 其 他 客户 端 一 样 的 客户 端 。 接 下 来 ， 它 
会 把 应 答 数据 发 送 给 代理 服务 器 。 
(4) 当代 理 服务 器 收 到 来 自 于 Web 服务 器 的 信息 时 ， 它 会 首先 处 理 这 个 应 答 信息 
(因为 这 个 信息 中 有 可 能 包含 恶意 内 容 )， 然 后 应 答 客户 端的 请 求 。 

(5) 如 果 这 个 服务 器 使 用 了 缓存 ， 接 下 来 ， 它 会 在 缓存 中 存储 应 答 信 息 的 副本 ， 这 


样 就 能 方便 之 后 应 答 来 自 网 络 客户 的 请 求 。 


图 7-3 给 出 了 客户 端 /代理 服务 器 /服务 器 之 间 的 相互 交 
主机 代理 服务 器 Web 服 务 器 


由 请 求 一 一 
图 7-3 客户 /代理 服务 器 /服务 器 作用 方式 
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从 安全 的 角度 讲 ， 代 理 服 务 器 隐藏 了 网 络 上 客户 端的 身份 ， 限 制 了 网 络 嗅 探 的 有 效 
性 。 同 时 ， 代 理 服 务 器 使 得 安全 管理 者 能 够 执行 许可 使 用 策略 (通过 限制 用 户 请 求 内 容 
的 种 类 )， 并 且 能 够 过 滤 输入 数据 的 恶意 内 容 ， 从 而 提供 了 过 滤 功 能 。 从 性 能 的 角度 讲 ， 
代理 服务 器 并 没有 为 每 一 个 请 求 都 建立 一 个 因特网 通信 连接 ， 而 是 经 常 从 服务 器 的 缓存 
中 提供 请 求 的 信息 ， 因 此 优化 了 使 用 带宽 。 


@ - 7:1:3 一 防火 墙 一 


\ 
Ne a VD ed a 2 


防火 墙 负责 过 滤 进 入 或 离开 计算 机 网 络 的 通信 数据 ， 通 过 对 接收 到 的 数据 包 和 防火 
墙 内 部 过 滤 规 则 库 中 的 安全 规则 进行 比较 ， 决 定 是 否 把 一 个 数据 包 转 发 到 它 的 目的 地 。 

防火 墙 通常 被 视 为 网 络 安全 的 “银子 弹 ”。 确实 ， 它 们 给 一 个 未 受 保护 的 网 络 提供 了 
极 大 的 好 处 ， 并 且 能 够 独立 地 改善 这 个 网 络 的 安全 状况 。 然 而 ， 防 火 墙 并 不 是 网 络 安全 
的 灵丹妙药 ， 它 们 的 效益 必须 在 一 定 的 条 件 下 才能 够 实现 。 在 网 络 安全 中 ， 防 火 墙 起 到 
了 很 重要 的 作用 ， 但 是 ， 它 们 仅 是 复杂 的 边界 保护 链 中 的 一 环 。 


7.2) 防火 墙 的 种 类 


防火 墙 成 为 计算 机 安全 科学 的 一 部 分 已 经 有 很 长 一 段 时 间 了 。 在 过 去 的 这 些 年 中 


术 也 在 不 断 地 进化 。 在 现在 的 市 场 上 , 可 以 看 到 不 同 种 类 的 防火 墙 解决 方案 和 技术 手段 。 
这 一 部 分 ， 读 者 将 会 看 到 软件 和 硬件 防火 墙 之 间 的 不 同 ， 以 及 两 种 最 普遍 的 防火 墙 过 滤 
技术 : 包 过 滤 和 状态 检测 。 


@ -7.2.1 硬件 防火 墙 和 软件 防火 墙 - 


、 
7/ 


当选 择 防火 墙 解决 方案 时 ， 通 常 有 两 种 选择 平台 : 基于 硬件 的 防火 墙 和 基于 软件 的 
防火 墙 。 基于 硬件 的 防火 墙 (通常 是 指 “ 电 器 用 具 ”) 是 一 种 包含 了 运行 防火 墙 所 必需 的 
所 有 硬件 和 软件 的 整合 方案 。 它 们 是 一 种 独立 的 设备 ， 向 管理 者 提供 了 防火 墙 安全 的 一 
种 特定 的 解决 方案 。 从 管理 者 的 角度 来 看 ， 无 论 看 起 来 还 是 感觉 起 来 ， 基 于 硬件 的 防火 
墙 和 基于 软件 的 防火 墙 都 是 很 类 似 的 ， 它 们 都 使 用 了 同样 的 图 形 化 用 户 接口 ， 同 样 的 日 
志 / 审 计 功 能 ， 同 样 的 远程 配置 功能 。 然 而 ， 作 为 一 个 专用 的 应 用 工具 ， 比 起 基于 软件 的 
防火 墙 ， 基 于 硬件 的 防火 墙 处 理 数据 的 速度 更 快 ， 更 适用 于 高 带宽 的 环境 。 当 然 ， 这 种 
额外 的 性 能 来 自 于 相对 更 高 的 价格 。 购 买 一 个 防火 墙 比 自己 使 用 一 些 独立 的 构件 组 建 和 
配置 一 个 防火 墙 似乎 更 昂贵 一 些 。 

基于 软件 的 防火 墙 是 安装 在 PC 平台 上 的 软件 产品 ， 通 过 在 操作 系统 底层 工作 来 实 
现 网 络 管理 和 防御 功能 ， 相 对 硬件 防火 墙 要 更 便宜 一 些 。 当 用 户 购买 了 一 个 防火 墙 软件 
许可 协议 之 后 ， 就 得 到 了 一 个 可 以 安装 在 任何 支持 平台 上 的 介质 ， 可 以 用 来 安装 和 配置 
一 个 防火 墙 。 大 多 数 的 商业 防火 墙 适用 于 Windows、Linux 以 及 UNIX 的 各 种 版 本 。 如 
果 用 户 从 中 间 商 手中 购买 自己 的 系统 ， 那 么 一 般 而 言 ， 这 个 价格 中 就 会 包括 设计 防火 墙 
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过 滤 规 则 库 ， 设 置 系统 以 及 对 系统 持续 的 维护 和 支持 的 费用 。 尽 管 安装 和 设置 防火 墙 不 
是 非常 复杂 ， 可 是 除非 组 织 中 有 拥有 防火 墙 经 验 的 人 员 ， 否 则 使 用 这 种 支持 是 一 种 明智 
的 选择 。 在 配置 防火 墙 过 程 中 的 一 点 小 的 失误 可 能 会 导致 用 户 失去 使 用 防火 墙 可 能 获得 
的 全 部 好 处 。 


@ -7.2:2” 包 过 滤 防 火 墙 ， 

最 早期 的 防火 墙 使 用 包 过 滤 的 原则 来 检查 通过 一 个 网 络 的 通信 。 在 这 种 方法 中 ， 每 
一 个 入 网 的 《或 出 网 的 ) 数据 包 被 单独 处 理 。 防 火 墙 读 取 包 头 ， 分 析 包含 在 其 中 的 路 由 
和 协议 信息 。 大 多 数 防火 墙 对 于 要 分 析 的 域 不 尽 相同 ， 但 是 最 主要 的 包括 源 地 址 、 目 标 
地 址 、 目 的 端口 和 传输 协议 4 种 。 

很 多 的 包 过 滤 方案 允许 考虑 其 他 的 因素 来 做 出 决定 ， 这 些 因素 包括 星期 几 或 某 一 天 
的 具体 时 间 。 例 如 ， 用 户 希望 只 有 在 非 工作 时 间 ， 网 络 使 用 率 较 低 的 时 候 ， 允 许 一 定 种 
类 的 非 工作 信息 数据 包 通过 防火 墙 。 这 些 功能 使 得 防火 墙 除了 是 一 个 边界 安全 工具 ， 还 
可 以 称 为 性 能 优化 工具 。 


全 -7.2.3 ”状态 检测 防火 墙 `， 

包 过 滤 防 火 墙 的 一 个 主要 缺点 是 单独 分 析 每 一 个 数据 包 ， 但 是 不 能 维持 状态 信息 的 
连接 。 下 一 代 防 火 墙 技术 一 一 状态 检测 防火 墙 克服 了 这 一 缺点 。 状 态 检测 防火 墙 维持 了 
关于 连接 开放 的 数据 以 确保 数据 包 是 一 个 由 合法 用 户 建立 的 连接 的 一 部 分 。 

最 简单 的 理解 状态 检测 防火 墙 的 方法 就 是 通过 例子 。 当 客户 端 向 一 个 远程 服务 器 请 
求 一 个 Web 网 页 时 两 台电 脑 的 工作 过 程 如 下 。 

(1) 客户 端 使 用 一 个 随机 高 编号 的 端口 (假设 这 个 端口 是 142 3 ) 向 目的 主机 的 80 
端口 发 送 一 个 请 求 。 

(2) 目的 服务 器 接受 这 个 连接 请 求 , 并 用 一 个 随机 选择 的 高 编号 端口 (假设 是 2901) 
来 应 答 客户 端 上 的 1423 端口 。 

(3) 接 下 来 ， 客 户 端的 1423 端口 和 服务 器 的 2901 端口 进行 通信 。 

这 个 精心 设计 的 过 程 是 为 了 保证 知名 端口 (在 例子 中 是 80 端口 ) 能 够 及 时 应 答 服 务 
连接 请 求 。 然 而 ， 这 样 做 却 给 防火 墙 管理 者 制造 了 一 个 麻烦 。 如 果 仅 使 用 包 过 滤 防 火 墙 ， 
必需 开放 高 编号 的 端口 来 适应 这 种 情况 。 不 幸 的 是 ， 人 允许 远程 系统 使 用 这 些 开 放 的 高 编 
号 端口 和 受 保 护 的 网 络 进行 连接 是 有 很 大 风险 的 。 

状态 检测 防火 墙 包含 先进 的 技术 ， 能 够 跟踪 连接 的 状态 。 当 客户 端 发 出 一 个 连接 建 
立 请 求 时 (由 防火 墙 的 过 滤 规 则 库 决 定 是 否 允 许 建 立 这 个 请 求 ), 防火 墙 积极 侦 听 应 答 信 
息 ， 并 且 记 录 正 在 被 客户 端 和 防火 墙 使 用 的 两 个 端口 。 在 连接 存在 的 整个 时 期 ， 来 自 这 
些 端口 的 数据 包 被 允许 通过 防火 墙 。 当 防火 墙 观察 到 连接 拆除 中 的 FIN-FIN/ACK-ACK 
标志 时 ， 它 就 会 撤销 临时 授权 ， 在 这 两 个 套 接 字 中 的 通信 就 被 阻 断 了 。 当 一 个 连接 的 时 
间 超 出 指定 的 阔 值 时 ， 也 会 发 生 同 样 的 动作 。 
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23) 防火 墙 拓扑 结构 


为 了 更 加 高 效 ， 防 火 墙 必需 被 合理 配置 在 一 个 网 络 上 。 防 火 墙 应 该 被 放 在 被 保护 网 
络 和 由 外 部 访问 此 网 络 的 所 有 路 径 之 间 。 另 外 ， 许 多 组 织 选 择 使 用 内 部 防火 墙 来 分 割 网 
络 ， 使 其 在 地 理 上 或 在 功能 上 得 到 更 进一步 的 保护 。 

本 章 将 要 讨论 3 种 常见 类 型 的 防火 墙 拓扑 结构 。 值 得 注意 的 是 ， 这 些 方案 用 来 保护 
整个 网 络 免 受 来 自 于 外 部 的 攻击 。 还 有 很 多 把 这 些 基 本 的 方案 进行 混合 搭配 的 更 为 复杂 
的 拓扑 结构 ， 用 来 提供 内 部 网 络 的 分 层 保护 。 


-7:3:1 屏蔽 主机 -， 

屏蔽 主机 拓扑 结构 ， 如 图 7-4 所 示 ， 防 火 墙 是 连接 内 网 和 外 部 网 络 的 唯一 链 路 。 所 
有 进入 或 离开 内 网 的 数据 包 都 必须 经 过 这 个 防火 墙 。 这 种 拓扑 是 最 容易 应 用 的 ， 也 是 最 
便宜 的 。 然 而 ， 如 果 内 网 向 外 网 提供 某 种 服务 ， 这 种 结构 同样 面临 着 巨大 的 安全 风险 。 


防火 墙 
图 7-4 屏蔽 主机 结构 


例如 ,假设 在 内 网 中 包含 一 个 则 在 向 因特网 用 户 提供 服务 的 Web 服务 器 ,为 了 提供 
这 种 服务 ， 屏 蔽 主机 的 防火 墙 必须 允许 所 有 来 自 于 因特网 主机 而 指向 Web 服务 器 80 端 
口 的 数据 包 通 过 。 因 此 ， 如 果 恶 意 用 户 对 Web 服务 器 的 攻击 数据 包 使 用 80 端口 ， 也 能 
通过 防火 墙 。 一 旦 Web 服务 器 被 攻破 ， 攻 击 者 就 可 以 不 受 限制 地 访问 内 部 网 络 资源 了 ， 
这 显然 是 极其 危险 的 。 下 面 两 种 防火 墙 拓扑 结构 就 做 出 了 一 定 的 改变 来 减少 这 种 威胁 的 
风险 。 


e@--17:3,2 一 屏蔽 子 网 防火 墙 -- 


\ 
ee tp 了 


屏蔽 子 网 〈 通 常 被 称 为 非 军事 区 或 DMZ) 防火 墙 拓扑 结构 同样 是 使 用 一 个 防火 墙 ， 
但 是 , 有 3 个 网 络 接口 。 对 于 集 垒 主机 防火 墙 , 一 块 网 卡 连接 因特网 (或 其 他 外 部 网 络 )， 
另 一 个 连接 内 网 。 对 于 屏蔽 子 网 防火 墙 ， 第 三 块 网 卡 连接 屏蔽 子 网 ， 如 图 7-5 所 示 。 

屏蔽 子 网 的 目的 就 是 提供 一 个 中 间 地 带 作 为 因特网 和 内 网 之 间 的 中 立地 域 〈 因 此 叫 
做 非 军事 区 DMZ)。 管理 员 把 向 外 部 用 户 提供 服务 的 系统 放 在 这 个 网 络 上 , 例如 Web 服 
务 器 、SMTP 服务 器 等 。 以 这 种 方式 ， 即 使 一 个 恶意 攻击 者 能 够 攻陷 向 公众 提供 服务 的 
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服务 器 ， 也 只 是 获得 了 对 网 络 剩余 部 分 有 限 的 访问 。 攻 击 者 可 能 会 获得 设置 在 DMZ 区 
域 上 的 系统 访问 权 ， 但 是 获得 内 网 访问 权 的 机 会 却 大 大 降低 了 《假设 防火 墙 和 过 滤 规 则 
库 设置 是 正确 的 )。 
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3 双重 防火 墙 2 

最 后 一 种 防火 墙 拓 扑 结 构 是 双重 防火 墙 ， 如 图 7-6 所 示 。 像 屏蔽 子 网 防火 墙 一 样 ， 
双重 防火 墙 同样 提供 一 个 DMZ 网 络 用 来 设置 公共 服务 。 然 而 ， 双 重 防 火 墙 并 没有 使 用 
一 个 带 有 3 块 网 卡 的 防火 墙 来 实现 这 个 目标 ， 而 是 使 用 两 个 带 有 两 块 网 卡 的 防火 墙 来 创 
建 一 个 中 间 区 域 。 


图 7-6 双重 防火 墙 结构 


双重 防火 墙 除了 提供 和 基本 的 屏蔽 子 网 防火 墙 一 样 的 安全 效益 ， 还 提供 了 另外 的 好 
处 。 使 用 两 个 单独 的 防火 墙 使 恶意 攻击 者 攻破 防火 墙 的 可 能 性 降 到 了 最 低 。 这 种 拓扑 结 
构 最 有 效 的 变 体 是 在 应 用 中 使 用 两 个 本 质 上 根本 不 相同 的 防火 墙 。 为 了 实现 这 种 变异 ， 
用 户 可 以 使 用 下 列 方 法 。 

(1) 一 个 系统 使 用 硬件 防火 墙 ， 另 一 个 系统 使 用 软件 防火 墙 。 

(2) 使 用 来 自 不 同 供应 商 的 防火 墙 。 


140 


信息 安全 技术 教程 


(3) 使 用 拥有 不 同安 全 认证 标准 的 防火 墙 。 

通过 这 种 差异 获得 的 最 主要 的 好 处 是 不 同 的 防火 墙 具 有 同样 内 部 漏洞 的 可 能 性 是 很 
低 的 。 需 要 注意 ， 防 火 墙 和 其 他 的 计算 机 系统 是 基于 同样 类 型 的 硬件 和 软件 的 。 因 此 ， 
也 一 定 会 有 很 多 未 被 发 现 的 安全 漏洞 。 但 是 ， 当 这 些 漏洞 被 发 现 的 时 候 ， 防 火 墙 供销 商 
总 是 很 快 地 发 布 这 些 安全 补丁 。 使 用 双重 防火 墙 提供 了 安全 保护 的 附加 层 ， 成 为 阻止 攻 
击 者 成 功 渗透 到 内 部 网 络 的 屏障 。 


7.4) 防火 墙 过 滤 规 则 库 


防火 墙 的 过 滤 规则 库 是 边界 安全 架构 中 最 为 重要 的 组 成 部 分 。 这 个 规则 库 规定 了 网 
络 上 的 哪些 数据 包 可 以 通过 ， 哪 些 数据 包 应 当 被 阻塞 。 防 火 墙 的 管理 者 应 该 花费 大 量 的 
时 间 来 进行 防火 墙 过 滤 规则 库 的 设计 、 配 置 、 维 护 和 更 新 。 

每 一 个 防火 墙 使 用 不 同 的 语法 方式 对 规则 进行 说 明 ， 大 多 数 提供 一 个 图 形 化 的 用 户 
接口 使 得 规则 的 输入 变 得 很 容易 。 然 而 ， 在 不 同 的 平台 上 ， 基 本 的 功能 是 不 变 的 。 大 多 
数 的 规则 具有 下 面 的 形式 : 

<action> <protocol> from <source address> <source port> to 

<destination address> <destination port> 


这 些 域 至 少 包 含 下 面 这 些 值 。 

(1) <action> 的 值 是 deny 或 allow。 

(2) <protocol> 的 值 是 ttp、udp、 或 icmp。 

(3) <source_address> 和 <destination_ address> 的 值 可 能 是 一 个 卫 地 址 ， 也 可 能 是 一 
个 下 地 址 范围 或 “any” 关 键 字 。 

(4) <source_port> 和 <destination_port> 的 值 可 能 是 端口 号 或 “any” 关 键 字 。 

正如 之 前 所 讲 的 ， 这 只 是 所 有 防火 墙 支 持 的 基本 功能 。 大 多 数 系统 使 用 一 些 更 高 
级 的 应 用 ， 使 得 管理 员 能 够 按照 组 织 业务 的 需求 设置 防火 墙 的 功能 。 这 类 功能 包括 以 下 
4 种 。 

(1) 终止 (而 不 是 阻塞 ) 入 站 的 数据 包 。 被 终止 的 数据 包 仅 是 被 忽略 了 ， 相 反 ， 当 
数据 包 被 阻塞 的 时 候 会 通知 通信 的 发 起 者 。 

(2) 整合 防火 墙 自身 (外 部 的 ) 的 认证 系统 来 向 不 同 的 级 别 的 用 户 提 供 不 同 的 安全 
限制 。 

(3) 与 虚拟 专用 网 方法 相 结 合 。 

(4) 设置 服务 质量 的 规则 ， 使 得 一 定 类 型 的 网 络 流量 事先 排 好 序 。 

设计 防火 墙 规 则 库 的 时 候 ， 首 先 要 列 出 由 这 个 网 络 所 支持 的 业务 要 求 ， 然 后 找 出 为 
了 完成 这 些 业 务 要 求 所 必须 实现 的 服务 ， 最 后 创建 能 够 实现 这 些 特定 服务 的 防火 墙 规则 
列表 。 安 全 管理 员 最 常见 的 错误 是 开始 时 先 列 出 防火 墙 支持 的 规则 ， 然 后 再 来 找 相应 的 
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业务 需求 。 这 样 做 会 造成 两 个 问题 : 首先 ， 业 务 需 求 有 可 能 被 忽视 ， 从 而 导致 规则 库 的 
重建 ， 另 外 ， 这 种 方法 有 可 能 会 导致 管理 员 扩充 业务 要 求 来 适应 目前 可 被 允许 的 服务 。 


et2 一 特殊 规则 = 
有 两 个 特殊 的 规则 应 该 被 放 在 每 一 个 防火 墙 规则 库 中 ， 清 除 规则 和 隐形 规则 。 这 些 
规则 是 组 织 的 基本 安全 原则 。 


1. 清除 规则 


清除 规则 完成 了 防火 墙 最 基本 的 功能 : 拒绝 不 被 明确 允许 的 任何 东西 。 在 本 章 使 用 
的 语法 形式 中 ， 这 将 会 被 写成 如 下 的 形式 : 

deny any from any to any any 

因为 这 种 语法 形式 ， 清 除 规则 又 被 称 为 “deny any” 规 则 。 在 每 一 个 防火 墙 规则 库 
中 这 应 该 是 最 后 一 个 规则 。 如 果 为 了 实现 某 个 安全 目标 而 必须 撤 出 这 个 规则 ， 那 么 防火 
墙 的 这 种 过 滤 规 则 库 设计 的 是 不 够 好 的 ， 需 要 重建 。 

2， 隐 形 规则 


隐形 原则 是 为 了 保护 防火 墙 本 身 免 受 来 自 外 部 (内 部 ) 的 攻击 ， 阻 止 网 络 上 对 防火 
墙 的 任何 形式 的 直接 连接 ， 限 制 访问 那些 和 网 络 有 物理 连接 的 用 户 。 这 个 规则 可 以 被 写 
成 下 面 的 形式 : 

deny any from any any to firewall any 


这 里 ，firewall 指 的 是 防火 墙 本 身 的 下 地址 。 

在 所 有 防火 墙 的 规则 库 中 ， 隐 形 规则 应 该 是 第 一 规则 。 然 而 ， 有 些 情况 下 ， 用 户 可 
能 希望 允许 某 些 到 防火 墙 的 受 限 连接 。 在 这 种 情况 下 , 第 一 规则 应 该 明确 允许 这 些 连接 ， 
然后 紧 跟着 是 隐形 规则 。 
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B. 屏蔽 子 网 防火 墙 

3 洛 择 是 C. 双重 防火 墙 

1. 以 下 哪 一 项 不 是 通过 实施 访问 控制 来 阻 D. 硬件 防火 墙 

止 对 敏感 客体 进行 未 授权 访问 攻击 的 ? (  ) 到 

A. 欺骗 攻击 
ee 1. 试 说 明 在 保护 网 络 的 边界 安全 中 路 由 器 
六 所 起 的 作用 。 
D. 字典 攻击 


2. 常见 类 型 的 防火 墙 拓扑 结构 不 包括 以 下 2. 简 述 客户 端 / 代 理 服 务 器 /服务 器 之 间 的 
哪 一 项 ? ( ) 相互 交互 过 程 。 
A. 屏蔽 主机 防火 墙 3. 举例 说 明 常 见 的 防火 墙 类 型 。 


册 台 


141 


142 


信息 安全 技术 教程 


4. 常见 的 防火 墙 拓扑 结构 有 哪些 ?简单 说 明 其 原理 。 


课 后 实践 与 思考 


网 络 卫士 防火 墙 配置 实例 


实例 1: 路 由 模式 下 通过 专线 访问 外 网 
路 由 模式 下 通过 专线 访问 外 网 , 主要 描述 总 公司 接 入 网 络 卫士 防火 墙 后 的 简单 配置 ， 
总 公司 的 网 络 卫士 防火 墙 工 作 在 路 由 模式 下 ,如 图 7-7 所 示 。( 提 示 : 用 LAN 或 者 WAN 
表示 方式 。 一 般 来 说 ，WAN 为 外 网 接口 ，LAN 为 内 网 接口 。) 
?人 Ee 


> 


202.69.38.9 
外 网 
Eth1:202.69.38.8 


Eth0:192.168.1.254 Eth2:172.16.1.1 


SSN 
交换 机 IP: 192.168.1.10 
三 层 交 换 机 


172.16.1.2 172.16.1.3 172.16.1.4 


AAA 
{192.1682.0124 1 192.168.3.0/24 ) { 192.168.1.0/24 ) 
pA Xk pA 
~ -一 Na es Me a 


7-7 网 络 卫士 防火 墙 的 路 由 模式 


1. 网 络 状况 

(1) 总 公司 的 网 络 卫士 防火 墙 工 作 在 路 由 模式 下 。Ethl 属于 外 网 区 域 ， 卫 为 202. 
69.38.8; Eth2 属于 SSN 区 域 ,了 为 172.16.1.1; Eth0 属于 内 网 区 域 ,IP 为 192.168.1.254。 

(2) 网 络 划分 为 3 个 区 域 : 外 网 、 内 网 和 SSN。 管 理 员 位 于 内 网 中 。 内 网 中 存在 3 
个 子 网 ， 分 别 为 192.168.1.0/24，192.168.2.0/24，192.168.3.0/24。 
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(3) 在 SSN 中 有 3 台 服 务 器 : 一 台 是 HTTP 服务 器 (IP 地 址 : 172.16.1.2), 一 台 
是 FTP 服务 器 〈 卫 地 址 : 172.16.1.3)， 一 台 是 邮件 服务 器 (ID 地 址 ; 172.16.1.4)。 

2. 用 户 需 求 

(1) 内 网 的 机 器 可 以 任意 访问 外 网 ， 也 可 访问 SSN 中 的 HTTP 服务 器 、 邮 件 服务 
器 和 FTP 服务 器 。 

(2) 外 网 和 SSN 的 机 器 不 能 访问 内 网 。 

(3) 允许 外 网 主机 访问 SSN 的 HTTP 服务 器 。 

3. 配置 步骤 

(1) 为 网 络 卫士 防火 墙 的 物理 接口 配置 瑟 地 址 。 

进入 NETWORK 组 件 topsec# network 

配置 Eth0 接口 IP topsec.network# interface eth0 ip add 192.168.1.254mask255.255. 
255.0 

配置 Ethl 接口 IPtopsec.network# interface ethl ip add 202.69.38.8 mask255.255.255.0 

配置 Eth2 接口 IP topsec.network# interface eth2 ip add 172.16.1.1 mask255.255.255.0 

(2) 内 网 中 管理 员 通 过 浏览 器 登录 网 络 卫士 防火 墙 ， 为 区 域 资源 绑 定 属性 ， 设 置 
权限 。 

设置 内 网 绑 定 属性 为 “Eth0”， 权 限 选 择 为 禁止 。 

设置 外 网 绑 定 属性 为 “Eth1”， 权 限 选择 为 允许 。 

设置 SSN 绑 定 属性 为 “Eth2”， 权 限 选择 为 禁止 。 

(3) 定义 地 址 资源 。 

定义 HTTP 服务 器 : 主机 名 称 设 为 HITP_ SERVER， IP 为 172.16.1.2。 

定义 FTP 服务 器 : 主机 名 称 设 为 FTP SERVER， IP 为 172.16.1.3。 

定义 邮件 服务 器 : 主机 名 称 设 为 MAIL_ SERVER， IP 为 172.16.1.4。 

定义 虚拟 HITP 服务 器 : 主机 名 称 设 为 V_SERVER，IP 为 202.69.38.10。 

(4) 定义 地 址 转换 规则 ， 见 表 7-1。 


表 7-1 地 址 转换 规则 
内 网 用 户 通 过 源 地 址 转换 访问 ”转换 控制 选择 “ 源 转 换 ”; 
外 网 源 区 域 选择 “内 网 ”; 
目的 区 域 选 择 “ 外 网 ”; 
服务 不 选 ， 表 示 全 部 服务 ; 
源 地 址 转换 为 “eth1” 
外 网 用 户 通过 目的 地 址 转换 访 ”转换 控制 选择 “目的 转换 ”; 
问 HITP 服务 器 源 区 域 选择 “外 网 ”; 
目的 区 域 选择 “SSN”， 目 的 地 址 选择 “V_SERVER”; 
服务 选择 “HTTP”; 
目的 地 址 转换 为 “HTTP_SERVER” 
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(5) 定义 访问 规则 ， 见 表 7-2。 
(6) 定义 路 由 ， 见 表 7-3。 
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表 7-2 访问 规则 


允许 内 网 用 户 访 ” 源 区 域 选择 “内 网 ”; 

问 HITP 服务 器 。 目的 区 域 选择 “SSN”， 目 的 地 址 选择 “HTTP_SERVER”， 服务 选择 “HTTP”; 
访问 权限 选择 “允许 ”， 并 启用 该 规则 

允许 内 网 用 户 访 ” 源 区 域 选择 “内 网 ”; 

问 邮件 服务 器 目的 区 域 选择 “SSN”， 目 的 地 址 选择 “MAIL_ SERVER ”， 服 务 选择 “POP3 ”， 


“SMTP”; 

访问 权限 选择 “允许” 并 启用 该 规则 

允许 内 网 用 户 访 ” 源 区 域 选择 “内 网 ”; 

问 FTP 服务 器 目的 区 域 选择 “SSN”， 目 的 地 址 选择 “FTP_SERVER ”， 服 务 选择 “FTP”， 
访问 权限 选择 “允许 ”， 并 启用 该 规则 

允许 外 网 用 户 访 ” 源 区 域 选择 “外 网 ”; 

问 HTTP 服务 器 目的 区 域 选 择 “SSN”， 目 的 地 址 选择 “HTTP_SERVER”;， 服务 选择 “HTTP”; 

访问 权限 选择 “允许” 并 启用 该 规则 


表 7-3 路 由 
为 内 网 用 户 访问 Intermnet 添加 缺 省 路 由 ”目的 地 址 设 为 “0.0.0.0”; 

网 关 地 址 设 为 “202.69.38.9” 
添加 回 指 路 由 ， 为 发 往 内 网 的 数据 包 指 ”日 的 地 址 设 为 “192.168.0.0”; 
定 路 由 网 关 地 址 设 为 “192.168.1.10” 
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实例 2: 混合 模式 下 通过 ADSL 拨号 访问 外 网 


混合 模式 下 通过 ADSL 拨号 访问 外 网 ， 主 要 描述 分 公司 网 络 卫 士 防 火 墙 的 配置 ， 分 
公司 的 网 络 卫士 防火 墙 工作 在 混合 模式 下 ， 如 图 7-8 所 示 。 值 得 注意 的 是 ， 分 公司 是 通 
过 ADSL 拨号 与 外 网 进行 连接 的 。 


VLAN-3:192.168.95.1/24 


\ VLAN3) 
Sy 


VLAN-2:192.168.25.1/24 


图 7-8 网 络 卫 士 防火 墙 的 混合 模式 
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1. 网 络 状况 

(1) 分 公司 的 网 络 卫士 防火 墙 工 作 在 混合 模式 下 。Ethl 为 路 由 接口 , 属于 外 网 区 域 ， 
通过 路 由 器 与 外 部 网 络 及 ISP 相连 (该 接口 由 ADSL 拨号 获取 公 网 人 P); Eth0 和 Eth2 
均 为 交换 接口 ，Eth0 工作 在 Trunk 方式 下 ，Eth2 工作 在 Access 方式 下 ; Eth0 下 连接 
着 两 个 VLAN，VLAN-1 和 VLAN-2; Eth3 下 连接 着 1 个 VLAN, VLAN-3。 

(2) VLAN-1 的 了 P 为 192.168.10.1/24; VLAN-2 的 IP 为 192.168.25.1/24; VLAN-3 
的 卫 为 192.168.95.1/24。 

(3) 管理 主机 位 于 VLAN-1 内 。 

2. 用 户 需 求 

(1) 防火 墙 通过 ADSL 拨号 获取 ethl 的 公 网 他 地 址 。 

(2) VLAN-1 内 的 机 器 可 以 任意 访问 外 网 (NAT 方式 )，VLAN-2 和 VLAN-3 内 的 
机 器 禁止 访问 外 网 ， 但 允许 VLAN-2 访问 VLAN-3。 

(3) 外 网 的 机 器 不 能 访问 VLAN-1 与 VLAN-2， 但 可 以 访问 VLAN-3。 

3. 配置 步骤 

(1) 通过 CONSOLE 口 登 录 网 络 卫 士 防火 墙 ， 配 置 基 本 信息 。 

进入 network 组 件 topsec # network 

添加 VLAN-1 topsec.network# vlan add id 1 

配置 VLAN-1 的 管理 IP topsec.network# interface vlan.0001 ip add 192.168.10.1 
mask255.255.255.0 

配置 eth0 接口 为 交换 接口 topsec.network# interface eth0 switchport mode trunk 

设置 eth0 接口 属于 VLAN-1 topsec.network# interface eth0 switchport trunk 
allowed-vlan 0001 

(2) 管理 员 通过 VLAN-1 的 管理 卫 登录 网 络 卫 士 防火 墙 ， 并 绑 定 ethl 口 和 ADSL 
的 拨号 属性 、 设 置 区 域 资源 及 VLAN。 

设置 区 域 ( 外 网 ) 绑 定 属性 为 “adsl”; 权限 设 为 允许 访问 。 

添加 VLAN-2 管理 IP 设 为 “192.168.25.1”，MASK 设 为 “255.255.255.0”。 

添加 VLAN-3 管理 IP 设 为 “192.168.95.1”，MASK 设 为 “255.255.255.0”。 

设置 eth0 接口 属于 VLAN-2，VLAN 范围 设 为 “1-2”。 

(3) 设置 接口 。 

设置 接口 eth2 设置 为 “交换 接口 ”， 接口 类 型 为 “access”;， VLAN 范围 为 “3”。 

(4) 设置 ADSL 拨号 参数 。 

设置 ADSL 拨号 参数 接口 设置 为 “eth1”; 用 户 名 和 密码 根据 ISP 服务 商 提供 的 参 
数值 进行 设置 ， 绑 定 属性 为 “adsl”。 

(5) 定义 访问 规则 ， 见 表 7-4。 

(6) 定义 地 址 转换 规则 。 

VLAN-1 用 户 通 过 源 地 址 转换 访问 外 网 : 转换 控制 选择 “ 源 转换 六 源 VLAN 选择 
“VLAN.0001”; 目的 区 域 选择 “外 网 ” 服务 不 选 , 表示 全 部 服务 ; 源 地 址 转换 为 “adsl”。 


册 们 台 
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表 7-4 实例 2 访问 规则 


禁止 VLAN-2 用 户 访 ” 源 VLAN 选择 “VLAN.0002”， 目的 区 域 选择 “外 网 ”; 

问 外 网 服务 不 选 ， 表 示 全 部 服务 ; 访问 权限 选择 “拒绝 ”， 并 启用 该 规则 
禁止 VLAN-3 用 户 访 ” 源 VLAN 选择 “VLAN.0003” 目的 区 域 选 择 “ 外 网 六 

问 外 网 服务 不 选 ， 表 示 全 部 服务 ; 


访问 权限 选择 “拒绝 ”， 并 启用 该 规则 
允许 VLAN-2 用 户 访 ” 源 VLAN 选择 “VLAN.0002”， 目的 VLAN 选择 “VLAN.0003”; 
问 VLAN-3 服务 不 选 ， 表 示 全 部 服务 ; 
访问 权限 选择 “允许 ” 并 启用 该 规则 
禁止 外 网 用 户 访问 源 区 域 选择 “外 网 ”目的 VLAN 选择 “VLAN.0001”; 
VLAN-1 服务 不 选 ， 表 示 全 部 服务 ; 
访问 权限 选择 “拒绝 ”并 启用 该 规则 
禁止 外 网 用 户 访 问 ” 源 区 域 选择 “外 网 ”目的 VLAN 选择 “VLAN.0002”; 
VLAN-2 服务 不 选 ， 表 示 全 部 服务 ; 
访问 权限 选择 “拒绝 ”并 启用 该 规则 


(7) 拨号 。 

在 防火 墙 上 通过 选择 网 络 管理 一 DSL 菜单 ， 并 单 击 “ 开 始 拨号 ”按钮 进行 ADSL 拨 
号 。 建 立 ADSL 连接 成 功 后 ， 在 防火 墙 的 路 由 表 中 会 增加 一 条 内 网 用 户 访问 Intemet 的 
路 由 信息 : 

源 为 “0.0.0.0/0”; 

目的 为 “0.0.0.0/0”; 

网 关 地 址 为 ISP 分 配 的 公 网 卫 地 址 〈 如 : 169.254.125.124); 

接口 为 与 Ethl 口 绑 定 的 ppp0 口 〈 拨 号 成 功 后 ， 系 统 自动 创建 了 一 个 ppp0 口 )。 


实例 3: 建立 VPN 隧道 


建立 VPN 隧道 ， 主 要 介绍 在 如 上 所 述 的 网 络 环境 中 ， 如 何在 总 公司 与 分 公司 之 间 
建立 IPSec VPN 隧道 ， 其 网 络 拓扑 结构 如 图 7-9 所 示 。 

1. 网 络 状 况 

(1) 总 公司 防火 墙 工作 在 路 由 模式 下 ， 接 口 Ethl (IP: 202.69.38.8) 通过 路 由 器 与 
Internet 相连 ; 分 公司 防火 墙 工作 在 混合 模式 下 ,接口 Ethl 通过 路 由 器 与 Internet 相连 ， 
且 Ethl 口 通过 ADSL 拨号 获取 公 网 卫 。 

(2) 总 公司 防火 墙 的 Eth0 口 与 Eth2 口 分 别 连 接 公司 内 网 区 和 SSN 区 域 ， 内 网 区 
有 3 个 子 网 ，192.168.2.0/24、192.168.3.0/24、192.168.1.0/24。 

(3) 分 公司 防火 墙 的 Eth0 口 与 Eth2 口 分 别 连 接 内 网 的 3 个 Vlan: VLAN-1、VLAN-2 
和 VLAN-3， 其 中 VLAN-1 的 了 P 为 192.168.10.1/24。 

2. 用 户 需 求 : 

分 公司 的 VLAN-1 所 在 子 网 192.168.10.0/24 与 总 公司 子 网 192.168.2.0/24 之 间 建 立 
基于 预 共享 密 钥 认证 的 VPN 通信 。 
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下 一 一 ta 


202.69.38.9 


总 公司 防火 墙 Eth1:202.69.38.8 
Eth2:172.16.1.1 
三 层 交 换 机 

> “5, 

Ws (VLAN-3) 

(VLAN-1) (VLAN-2) 0 

it a "Whe 

i a "mS 
(192.168.2.0/24) (192.168.3.0/24) (192.168.1.0/24) 
7-9 ”网 络 卫士 防火 墙 的 VPN 隧道 模式 
(1) 配置 总 公司 防火 墙 ， 具 体 的 配置 步骤 请 参见 案例 1。 147 


(2) 配置 分 公司 防火 墙 ， 具 体 的 配置 步骤 请 参见 案例 2 。 

下 面 只 描述 与 建立 VPN 隧道 有 关 的 操作 。 

(3) 在 总 公司 防火 墙 上 开放 “IPSecVPN” 服 务 。 

开放 IPSecVPN 服务 : 服务 名 称 为 “IPSecVPN”; 控制 区 域 为 “area_eth1” 控制 地 
址 为 “any”。 

(4) 在 分 公司 防火 墙 上 开放 服务 。 

开放 IPSecVPN 服务 : 服务 名 称 为 “IPSecVPN ”; 控制 区 域 为 “area_eth1”; 控制 地 
址 为 “any”。 

(5) 在 总 公司 防火 墙 上 绑 定 虚 接口 。 

绑 定 虚 接 口 : 虚 接口 名 为 “ipsec0”; 绑 定 接口 名 为 “eth1”; 接口 地 址 为 “202.69.38.8”。 

(6) 在 分 公司 防火 墙 上 绑 定 虚 接 口 。 

绑 定 虚 接 口 : 虚 接口 名 为 “ipsec0” 绑 定 接口 名 为 “eth1”， 接口 地 址 为 “0.0.0.0”。 

(7) 在 总 公司 防火 墙 上 添加 静态 隧道 ， 隧 道 参数 采用 默认 设置 。 

添加 静态 隧道 ， 隧道 名 : zong-fen 

IKE 协商 模式 : 主 模式 

认证 方式 = 预 共 享 密 钥 ， 密 钥 = 123456 

本 地 标识 : @202 8 

对 方 标识 : @0 0 

对 方 地 址 ; 0.0.0.0 

本 地 子 网 : 192.168.2.0 

本 地 掩 码 : 255.255.255.0 
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对 方 子 网 : 192.168.10.0 

对 方 掩 码 : 255.255.255.0 
主动 发 起 协商 : 是 

(8) 在 分 公司 防火 墙 上 添加 静态 隧道 ， 隧 道 参数 采用 默认 设置 。 
添加 静态 隧道 隧道 名 :fen-zong 

IKE 协商 模式 : 主 模式 

认证 方式 = 预 共 享 密 钥 ， 密 钥 =123456 
本 地 标识 : @0 0 

对 方 标识 : @202 8 

对 方 地 址 : 202.69.38.8 

本 地 子 网 : 192.168.10.0 

本 地 掩 码 : 255.255.255.0 

对 方 子 网 ，192.168.2.0 

对 方 掩 码 ，255.255.255.0 

主动 发 起 协商 : 是 


本 案例 中 分 公司 防火 墙 采用 的 是 ADSL 拨号 的 方式 ， 故 其 IP 设置 为 0.0.0.0。 如 果 建 立 
隧道 的 两 台 防 火 墙 均 为 ADSL 环境 ， 则 可 以 通过 DDNS 方式 ， 利 用 域名 来 建立 隧道 。 


实例 4: 多 种 服务 的 防火 墙 配置 


(1) 局 域 网 内 共 5 个 VLAN， 其 中 VLAN1 用 于 网 络 设备 管理 ，VLAN10、11、12 
用 于 局 域 网 内 用 户 ，VLAN20 为 内 部 服务 器 ， 对 应 的 子 网 规划 : 

VLAN1: 192.168.0.0/24 GW: 192.168.0.254 

VLAN10: 192.168.10.0/24 GW: 192.168.10.254 

VLAN!11: 192.168.11.0/24 GW: 192.168.11.254 

VLAN12: 192.168.12.0/24 GW: 192.168.12.254 

VLAN20: 192.168.20.0/24 GW: 192.168.20.254 

防火 墙 内 口 位 于 VLAN1， 分 配 卫 为 192.168.0.253，OA Server 位 于 VLAN20, 分 配 
JIP 为 192.168.20.250。 

(2) SSN 内 的 服务 器 对 Internet 及 内 部 局 域 网 提供 Web、Email、FTP 服务 ， 内 部 
OA 服务 器 对 局 域 网 用 户 及 分 支 机 构 用 户 提 供 OA 服务 。 

(3) 从 ISP 那里 申请 到 一 段 61.144.102.0/29 段 公 网 耻 ， 共 8 个 卫 ， 缺 省 路 由 是 
61.144.102.6， 可 用 了 二 有 5 个， 分 配 如 下 。 

防火 墙 外 口 : 61.144.102.1 

Web: 61.144.102.2 

FTP: 61.144.102.3 

Email: 61.144.102.4 
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备用 : 61.144.102.5 

其 中 SSN 那 3 台 服 务 器 的 IP 由 防火 墙 实现 一 对 一 地 址 翻译 。 

(4) 分 支 机 构 与 防火 墙 建立 VPN 隧道 访问 内 部 OA 服务 器 。 

口 分 支 机 构 1]、2 也 安装 VPN 网 关 直 接 与 防火 墙 建立 Site-to-Site 的 VPN 隧道 。 

口 ADSL 拨号 分 支 机 构 与 远程 移动 办 公用 户 采 用 VPN Client 软件 与 防火 墙 建 立 
Client-to-Server 的 VPN 隧道 。 

(5) 访问 控制 需求 如 下 。 

口 VLAN10 用 户 访问 Intemet，24 小 时 允许 POP3、SMTP、DNS 服务 ， 休 息 时 间 
(周一 至 周 五 的 下 午 6 点 至 次 日 9 点 、 周 六 周 日 全 天 ) 允许 HTTP。 

口 VLAN11 用 户 访问 Internet，24 小 时 允许 HITP、POP3、SMTP、FTP、DNS。 

VLAN12 用 户 访问 Intemet 及 SSN，24 小 时 所 有 服务 不 限制 。 

所 有 内 部 用 户 及 Intemet 公 网 访问 SSN 内 WEB 的 HTTP、Email 的 POP3 和 

SMTP、FTP 服务 器 的 FTP 服务 24 小 时 不 限制 。 

口 分 支 机 构 通过 VPN 隧道 访问 内 部 OA 服务 器 24 小 时 不 限 。 

口 VLAN10、VLAN11 用 户 访问 Intemet 作 带 宽 限制 最 高 256Kbps， 其 中 VLAN11 
优先 级 稍 高 。 

其 网 络 拓扑 结构 如 图 7-10 所 示 。 


口 
口 
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远程 或 移动 办 公用 户 
ADSL 拨 号 分 支 机 构 3 


3 
ss { | 和 本 4 


分 支 机 构 2 
172.16.2.0/24 © 
Vlan1:192.168.1.254 


Vlan 20 
OA Server:192.168.20.250 


0 Le 
Vlan10:192.168.10.0/24 Vlan11:192.168.11.0/24 Vlan12:192.168.12.0/24 
INTERNET 
o 0 0° 


7-10 实例 4 网 络 拓扑 结构 


第 8 瘟 入 侵 检 测 


本 章 学 习 重点 : 

。 入 侵 检 测 基 本 原理 

。 异常 检测 与 误 用 检测 

e 基于 主机 入 侵 检测 系统 与 基于 网 络 入 侵 检测 系统 
e Snort 系统 安装 与 基本 使 用 


8.1) 人 侵 检 测 的 概念 与 基本 术语 


系统 安全 一 般 由 预防 、 侦 查 、 响 应 3 部 分 组 成 。 安 全 管理 者 通常 将 大 部 分 注意 力 放 
在 预防 和 侦查 上 面 ， 入 侵 检测 是 一 种 对 威胁 系统 和 网 络 安全 的 行为 进行 检测 的 技术 ， 典 
型 的 入 侵 检测 系统 如 图 8-1 所 示 。1980 年 James Anderson 在 论文 《计算 机 安全 威胁 监 
察 与 监控 》 中 第 一 次 提出 入 侵 检测 的 概念 ， 并 推动 了 其 发 展 。 对 入 侵 检 测 的 概念 与 基本 
术语 说 明 如 下 。 


路 由 器 


防火 墙 


8-1 典型 的 入 侵 检测 系统 示意 图 


口 入 侵 ， 指 未 经 授权 非法 进入 信息 系统 的 行为 ， 可 能 导致 资源 的 滥用 、 不 可 信和 与 
不 可 用 ， 该 行为 的 实施 者 就 是 入 侵 者 。 

口 入 侵 过 程 ” 一 个 入 侵 行为 包含 着 大 量 的 步骤 ， 首 先 通过 扫描 收集 目标 系统 的 信 
息 ， 然 后 判定 目标 系统 存在 的 漏洞 ， 通 过 系统 漏洞 获取 系统 访问 权限 ， 进 入 系 


统 利用 系统 资源 。 


入 侵 检测 


误 报 ”将 正常 的 行为 当 作 异常 行为 处 理 。 

漏 报 ”将 异常 的 行为 当 作 正常 行为 处 理 。 

入 侵 检测 ”分析 系 统 的 行为 并 辨别 是 否 是 异常 行为 的 过 程 。 

入 侵 检测 系统 (IDS) 持续 检测 系统 行为 ， 侦 测 系 统 异 常 行为 的 软 硬 件 总 和 。 

基于 主机 的 入 侵 检测 系统 (HIDS) 检测 针对 某 一 特定 主机 进行 的 入 侵 行为 的 

软 硬 件 总 和 。 

口 基于 网 络 的 入 侵 检测 系统 (NIDS) 检测 针对 某 一 网 络 或 某 一 特定 网 段 流 量 进 
行 入 侵 行为 的 软 硬 件 总 和 。 

口 混杂 模式 ”在 此 模式 下 ， 网 卡 能 够 接收 流 经 该 网 段 的 所 有 数据 包 流 量 而 不 用 考 
虑 数据 包 的 目的 地 址 。 

口 入侵 检测 系统 组 成 ”互联 网 工作 小 组 将 IDS 分 为 事件 产生 器 、 事 件 分 析 器 、 响 
应 单元 和 事件 数据 库 4 部 分 。 事 件 产生 器 从 计算 环境 中 获得 事件 ， 并 向 系统 的 
其 他 部 分 提供 此 事件 ; 事件 分 析 器 用 于 分 析 数 据 ; 响应 单元 用 于 发 出 警报 或 采 
取 主 动 响应 措施 ; 事件 数据 库 用 于 存放 各 种 数据 。 

图 8-2 给 出 了 各 部 分 之 间 的 关系 。 


COODODODO 


事件 数据 库 | 一 一 | 响应 单元 


响应 
天 


1 
1 


事件 分 析 器 


事件 产生 器 


图 8-2 入 侵 检测 系统 组 件 


事件 产生 器 接收 到 事件 后 ， 将 事件 转化 成 其 他 部 件 可 以 接受 的 格式 发 送 给 事件 分 析 
器 ， 事 件 分 析 器 接收 到 转化 后 的 事件 ， 分 析 该 事件 的 意义 〈 如 异常 ， 违 反 策 略 )， 然 后 将 
其 发 送 给 事件 数据 库 进行 备份 以 备查 询 ， 并 发 送 给 响应 单元 ， 响 应 单元 接收 到 分 析 器 的 
信息 后 会 执行 相应 的 响应 。 


8.2) 人 侵 检测 系统 的 检测 机 制 


入 侵 检测 系统 的 检测 机 制 一 般 可 以 分 为 3 种 : 基于 异常 的 检测 机 制 ， 基 于 特征 的 检 
测 机 制 ， 以 及 两 者 混合 的 检测 机 制 。 


1. 异常 检测 


基于 异常 的 检测 ， 通 过 将 系统 或 用 户 行为 与 正常 行为 进行 比较 来 判别 是 否 为 入 侵 行 
为 ， 通 常会 首先 给 出 一 个 系统 正常 行为 的 特征 列表 ， 即 “ 白 名 单 ” 列 表 。 然 后 将 系统 或 
用 户 行为 特征 和 “ 白 名 单 ” 中 的 行为 特征 进行 比较 ， 如 果 匹 配 ， 则 判定 系统 或 用 户 的 行 
为 是 正常 行为 ， 否 则 ， 判 定 系 统 或 用 户 的 行为 是 入 侵 行为 。 特 征 一 般 由 用 户 、 用 户 组 、 
应 用 程序 、 系 统 等 的 经 验 数 据 组 成 。 然 而 给 出 的 “ 白 名 单 ” 列 表 往往 不 能 代表 所 有 可 接 
受 的 行为 ， 因 此 异常 检测 就 需要 不 断 学 习 ， 不 断 提取 系统 正常 行为 的 特征 进而 更 新 “ 白 
名 单 ” 列 表 。 

异常 检测 存在 的 主要 问题 有 : 非 入 侵 行为 的 行为 被 分 类 成 入 侵 行为 ， 即 误 报 问 题 ; 
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未 导致 异常 结果 的 入 侵 行为 不 能 被 检测 出 ， 即 漏 报 问题 ， 扫 描 的 持续 进行 及 列表 的 不 断 
更 新 导致 的 计算 量 过 大 问题 。 


2. 误 用 检测 


不 同 于 异常 检测 ， 误 用 检测 假定 每 个 入 侵 行为 都 能 够 用 一 个 独特 的 模式 或 特征 所 代 
表 , 因此 在 系统 中 建立 异常 行为 的 特征 库 , 然后 将 系统 或 用 户 的 行为 与 特征 库 进行 比较 。 
若 特征 相互 匹配 ， 则 判定 系统 或 用 户 的 行为 是 入 侵 行 为 ， 若 不 能 匹配 ， 则 判定 系统 或 用 
户 行为 是 正常 行为 。 在 互联 网 中 ， 存 在 着 大 量 关 于 已 知 入 侵 检测 行为 特征 的 记录 ， 这 些 
特征 能 被 入 侵 检测 系统 利用 ， 特 征 库 必 须 在 工作 同时 进行 更 新 。 

误 用 检测 存在 的 主要 特征 有 : 系统 不 能 检测 未 知 的 、 未 被 描述 的 攻击 ;系统 不 能 预 
知 新 的 攻击 ， 只 能 检测 出 已 发 生 过 的 攻击 。 


8.3) 人 侵 检测 系统 


@ -8.3.1 ”入侵 检测 系统 的 设计 准则 - -， 


系统 设计 必然 要 遵循 一 定 的 标准 ， 入 侵 检测 系统 的 设计 准则 包括 以 下 几 点 。 

(1) 其 配置 结束 后 可 以 自我 运行 。 

(2) 工作 时 必须 时 刻 保持 积极 的 工作 状态 且 自 身 不 易 被 攻击 。 

(3) 能 够 识别 系统 不 常见 的 行为 ， 每 一 个 入 侵 检 测 系统 都 会 遗漏 一 些 异 常 行为 ， 不 
过 一 个 好 的 系统 能 够 尽 可 能 多 地 发 现 入 侵 行为 。 

(4) 系统 运行 要 尽 可 能 减少 对 正常 工作 的 影响 。 

(5) 系统 必须 可 控 、 可 调试 。 

通过 数据 来 源 的 不 同 ， 可 以 将 入 侵 检测 系统 分 为 基于 网 络 的 入 侵 检 测 系统 和 基于 主 
机 的 入 侵 检 测 系统 。 


@ - 8.3.2 ”基于 网 络 的 入 侵 检测 系统 (NIDS) -- 

基于 网 络 的 入 侵 检 测 系统 是 将 整个 网 络 作 为 扫描 范围 ， 通 过 检测 整个 网 络 来 发 现 网 
络 上 异常 的 ， 不 恰当 的 或 其 他 可 能 导致 未 授权 、 有 害 事件 发 生 的 事件 。 

NIDS 有 几 种 不 同 的 运行 模式 : 一 种 是 作为 独立 的 机 器 ， 在 混杂 模式 下 检测 所 有 的 
网 络 数据 ; 另 一 种 是 将 自己 变 为 目标 主机 ， 检 测 流 经 自己 的 所 有 网 络 数据 。 

基于 网 络 的 入 侵 检 测 系统 的 各 个 组 件 之 间 通 过 共同 工作 进行 预警 , 几 个 组 件 分 别 是 : 
网 络 负载 均衡 器 (Network Tap/Load Balancer); 网 络 传感器 /监控 器 (Network Sensor / 
Monitoring)、 分 析 器 (Analyzer)、 报 警 器 (Alert Notifies)、 命 令 级 管理 控制 器 (Command 
Console/Manager)、 响 应 子 系统 (Response Subsystem)、 数 据 库 (Database)。 图 8-2 给 出 
了 其 具体 的 架构 。 


入 侵 检测 


网 络 负载 均衡 器 


网 络 传感器 /监控 器 


防火 墙 外 的 IDS 传 感 器 


数据 库 响应 子 系统 
8-3 基于 网 络 的 入 侵 检测 系统 的 部 团 


其 中 最 关键 的 是 传感器 位 置 ， 直 接 影响 着 入 侵 系统 接受 网 络 数据 的 效率 。 传 感 器 的 
部 署 取决 于 以 下 几 种 因素 : 被 保护 的 内 部 网 络 的 拓扑 结构 ; 组织 所 遵循 的 安全 策略 ; 实 
际 工作 中 安全 实践 的 类 型 。 根 据 上 述 的 几 种 因素 ， 传 感 器 的 位 置 一 般 会 选取 在 非 军 事 区 
中 ， 防 火 墙 与 网 络 之 间 ， 或 网 络 关键 点 等 位 置 。 


@ -8.3.3 ”基于 主机 的 入 侵 检测 系统 (HIDS) - 

系统 的 信息 误 用 问题 不 只 是 外 部 的 入 侵 造成 的 ， 更 多 的 是 来 自 于 系统 内 部 。 为 避免 
系统 内 部 的 攻击 ， 安 全 专家 将 检测 转向 组 织 网 络 的 内 部 ， 检 测 针对 本 地 主机 入 侵 行 为 的 
系统 被 称 为 基于 主机 的 入 侵 检测 系统 (HIDS)。 

基于 主机 的 入 侵 检 测 是 在 单一 主机 上 进行 恶意 行为 检测 的 技术 。HIDS 部 署 在 单一 
的 目标 主机 上 ， 利 用 软件 检测 主机 的 具体 日 志 信息 ， 如 Windows 系统 中 的 系统 日 志 、 事 
件 日 志 、 安 全 日 志 或 UNIX 系统 中 的 系统 日 志 。 当 这 些 文件 发 生 了 变化 ，HIDS 就 将 相 
关 事 件 与 攻击 特征 表 进 行 匹 配 ， 如 果 匹 配 ， 那 判定 系统 内 有 攻击 发 生 。 

HIDS 可 以 部 署 在 单一 主机 上 ， 同 样 也 可 以 部 署 在 远程 主机 上 ， 或 部 署 在 网 段 上 来 
检测 整个 网 段 。HIDS 的 缺点 在 于 大 量 需要 检测 的 原始 数据 造成 分 析 程 序 处理 能 力 的 增 
加 以 及 检阅 数据 的 安全 工作 人 员 数 量 的 增加 。 


@-- 8:3.4 ”NIDS 与 HIDS 比较 - 
NIDS 与 HIDS 在 网 络 中 部 署 位 置 不 同 ， 因 此 在 实际 应 用 中 各 有 优 缺点 。 
与 HIDS 相 比 ，NIDS 的 优点 主要 表现 以 下 几 个 方面 。 
(1) 可 以 检测 到 HIDS 不 能 检测 到 的 攻击 : NIDS 在 传输 层 监测 网 络 流量 ,不 仅 查看 
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数据 包 的 地 址 , 同样 查看 数据 包 的 端口 地 址 , 而 HIDS 是 不 具备 这 种 的 能 力 的 , 因此 NIDS 
能 够 检测 到 某 些 HIDS 漏 掉 的 攻击 。 

(2) 实时 监测 : NIDS 处 于 关键 的 网 络 节点 中 ， 可 以 实时 检测 网 络 的 外 部 攻击 。 

(3) 可 以 检测 到 未 成 功 的 入 侵 行为 : HIDS 处 于 被 保护 的 内 部 网 络 中 ， 而 大 部 分 攻 
击 都 会 被 挡 在 防火 墙 之 外 ， 偶 尔 有 越过 第 一 道 防火 墙 的 攻击 ， 也 会 被 内 部 防火 墙 和 非 军 
事 区 中 的 服务 所 拒绝 ， 因 此 HIDS 很 难 捕捉 到 这 些 攻 击 。 而 NIDS 则 可 以 捕捉 到 这 些 攻 
击 ， 并 记录 这 些 攻击 的 频率 。 
尽管 NIDS 可 以 很 好 地 检测 所 有 流入 网 络 的 通信 ， 但 也 存在 着 一 定 的 问题 。 

(1) 和 HIDS 比 ，NIDS 拥有 盲区 ， 为 部 署 在 组 织 网 络 的 边缘 地 带 ，NIDS 对 整个 内 
部 网 络 是 不 了 解 的 ， 从 而 产生 盲区 。 

(2) 尽管 可 以 对 包头 等 一 些 未 加 密 的 部 分 进行 检测 ， 但 对 数据 包 其 他 加 密 的 部 分 ， 
NIDS 是 不 能 解密 的 。 而 HIDS 可 以 不 用 考虑 这 些 问 题 。 


@ - 8.3.5 其 他 类 型 的 入 侵 检测 系统 --， 


在 入 侵 检测 领域 除了 NIDS、HIDS 系统 被 广泛 使 用 ， 还 有 一 些 服务 目标 更 加 具体 的 
入 侵 检测 工具 ， 共 同 发 挥 着 入 侵 检 测 的 作用 。 


1.， 系统 完整 性 验证 者 〈SIVs) 


系统 完整 性 验证 者 一 直 监 测 系统 中 的 核心 文件 〈 例 如 系统 文件 或 注册 表 ) 来 检测 是 
和 否 被 入 侵 者 更 改 。 另 外 SIVs 也 可 以 检测 其 他 系统 部 件 的 数据 , 如 可 以 检测 到 具有 普通 权 
限 的 用 户 越权 访问 系统 的 行为 。 


2. 日 志文 件 监督 (LFM) 


LFM 监测 网 络 服务 创建 的 日 志 记 录 ， 寻 找 日 志文 件 中 的 system trends、tendencies、 
pattern 等 内 容 ， 并 将 其 与 关键 字 进 行 匹 配 来 判断 入 侵 者 是 否 正在 攻击 。 


3. 窗 锥 


蜜 钢 也 可 认为 是 一 个 “陷阱 ” 诱 使 入 侵 者 对 其 进行 攻击 从 而 获取 攻击 者 攻击 工具 和 
攻击 方法 的 信息 。 蜜 缸 是 一 个 附件 工具 , 在 保护 系统 安全 的 很 多 方面 发 挥 着 巨大 的 作用 。 

蜜 钠 系 统 是 一 个 包含 漏洞 的 系统 ， 给 入 侵 者 提供 一 个 容易 入 侵 攻 击 的 机 会 。 由 于 窄 
镶 不 会 提供 其 他 任何 服务 ， 因 此 所 有 对 其 进行 连接 的 尝试 都 被 视 为 是 可 疑 的 。 蜜 钢 的 另 
一 个 用 途 是 拖延 攻击 者 对 真正 目标 的 攻击 ， 让 攻击 者 在 蜜 缸 上 浪费 时 间 ， 从 而 使 最 初 的 
攻击 目标 受到 了 保护 ， 真 正 有 价值 的 内 容 不 受 侵犯 。 


8.4) 人 侵 检 测 系统 实现 


入 侵 检测 系统 对 收集 的 数据 进行 分 析 并 以 此 判断 是 否 为 入 侵 行 为 ， 具 体 的 实现 方法 
有 以 下 几 种 : 特征 检测 、 统 计 检测 和 专家 系统 。 


入 侵 检测 


1. 特征 检测 


对 已 知 的 攻击 或 入 侵 方式 做 确定 性 的 描述 ， 形 成 相应 的 事件 模式 ， 当 被 审计 的 事件 
与 已 知 的 入 侵 事件 模式 相 匹配 时 ， 即 报警 。 原 理 上 与 专家 系统 相仿 。 其 检测 方法 上 与 计 
算 机 病毒 的 检测 方式 类 似 。 目 前 基于 特征 描述 的 模式 匹配 应 用 较为 广泛 ， 特 征 检测 的 准 
确 率 较 高 ， 但 对 无 经 验 知识 的 入 侵 与 攻击 行为 是 无 效 的 。 

2. 统计 检测 

统计 模型 常用 异常 检测 ， 在 统计 模型 中 常用 的 测量 参数 包括 审计 事件 的 数量 、 间 隔 
时 间 、 资 源 消耗 情况 等 。 常 用 的 入 侵 检测 有 5 种 统计 模型 ， 见 表 8-1。 

表 8-1 常用 的 入 侵 检测 统计 模型 


统计 模型 描述 
操作 模型 该 模型 假设 异常 可 通过 测量 结果 与 一 些 固定 指标 相 比 较 得 到 , 固定 指标 可 以 根 


据 经 验 值 或 一 段 时 间 内 的 统计 平均 得 到 ,举例 来 说 , 在 短 时 间 内 多 次 失败 的 登 
录 很 有 可 能 是 口令 尝试 攻击 


方差 计算 参数 的 方差 , 设 定 其 置信 区 间 ， 当 测量 值 超过 置信 区 间 的 范围 时 表明 有 可 
能 是 异常 
多 元 模型 操作 模型 的 扩展 ， 通 过 同时 分 析 多 个 参数 实现 检测 


马尔 柯 夫 过 程 模型 ”将 每 种 类 型 的 事件 定义 为 系统 状态 , 用 状态 转移 矩阵 来 表示 状态 的 变化 ， 当 一 
个 事件 发 生 时 ， 如 果 在 状态 转移 矩阵 中 该 事件 的 转移 概率 较 小 ,那么 就 可 能 当 
作 是 异常 事件 

时 间 序 列 分 析 将 事件 计数 与 资源 耗 用 根据 时 间 排 成 序列 , 如 果 一 个 新 事件 在 该 时 间 发 生 的 概 
率 较 低 ， 则 该 事件 可 能 是 入 侵 


统计 方法 的 最 大 优点 是 可 以 “学 习 ” 用 户 的 使 用 习惯 ， 从 而 具有 较 高 检 出 率 与 可 用 
性 。 但 是 它 的 “学 习 ” 能 力也 给 入 侵 者 以 机 会 通过 逐步 “训练 ”使 入 侵 事件 符合 正常 操作 
的 统计 规律 ， 从 而 欺骗 入 侵 检测 系统 。 


3. 专家 系统 


用 专家 系统 对 入 侵 进行 检测 针对 的 大 多 数 是 有 特征 的 入 侵 行为 。 专 家 系统 的 建立 依 
赖 于 知识 库 的 完备 性 ， 知 识 库 的 完备 性 又 取决 于 审计 记录 的 完备 性 与 实时 性 。 入 侵 的 特 
征 抽取 与 表达 ， 是 入 侵 检测 专家 系统 的 关键 。 在 系统 实现 中 ， 将 有 关 入 侵 的 知识 转化 为 
让 then 结构 〈 也 可 以 是 复合 结构 )， 让 部 分 为 入 侵 特征 ，then 部 分 是 系统 防范 措施 ， 运 用 
专家 系统 防范 入 侵 行为 的 有 效 性 完全 取决 于 专家 系统 知识 库 的 完备 性 。 


8.5) 人 侵 检 测 系统 产品 的 选择 
入 侵 检测 系统 产品 的 选择 要 多 方面 地 考虑 ， 具 体 因素 如 下 。 


口 价格 系统 价格 以 及 特征 库 升 级 与 维护 的 费用 ， 性 能 价格 比 以 及 要 保护 系统 的 
价值 都 是 选择 入 侵 检 测 系统 时 的 重要 因素 。 
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口 网 络 的 部 署 环 境 如 果 在 512KB 或 2MB 专线 上 部 署 网 络 入 侵 检测 系统 ， 则 不 
需要 高 速 的 入 侵 检测 引擎 ， 而 在 负荷 较 高 的 环境 中 ， 入 侵 检测 系统 的 最 大 可 处 
理 流量 是 一 个 非常 重要 的 指标 。 

口 入 侵 检测 系统 对 于 异常 行为 的 敏感 度 “有些 常 用 的 躲 开 入 侵 检测 的 方法 ， 如 分 
片 、TTL 欺骗、 异常 TCP 分 段 、 慢 扫描 、 协 同 攻击 等 ， 是 入 侵 检测 系统 必须 考 


虑 的 要 素 。 
口 产品 的 可 扩展 性 系统 的 选用 应 该 具有 良好 的 扩展 性 以 满足 网 络 日 益 扩大 及 日 
后 升级 的 需要 。 


口 _ 软 硬件 情况 ”产品 支持 的 入 侵 特征 数 ， 产 品 有 哪些 响应 方法 ， 系 统 支持 的 传 感 
器 数目 、 最 大 数据 库 大 小 等 都 是 选择 入 侵 检 测 系统 产品 时 需要 考虑 的 因素 。 

口误 报 率 与 漏 报 率 ”判定 一 个 入 侵 检 测 系统 的 好 坏 ， 一 般 是 通过 误 报 率 与 漏 报 率 
两 个 指标 进行 分 析 。 误 报 率 即 将 一 个 正常 的 行为 当 作 入 侵 行为 而 发 出 警报 的 概 
率 ， 漏 报 率 则 是 把 一 个 异常 的 行为 当 作 正常 行为 而 没有 发 出 警报 的 概率 。 


8.6) 人 侵 检测 的 发 展 趋势 


随 着 网 络 技术 的 发 展 ， 人 们 不 断 地 研究 着 新 的 入 侵 检 测 技术 ， 入 侵 检 测 技术 的 发 展 

方向 大 臻 有 以 下 儿 个 。 

口 大 规模 分 布 式 入 侵 检测 ”传统 的 入 侵 检测 技术 一 般 只 局 限于 单一 的 主机 或 网 络 
框架 ， 不 能 适应 大 规模 网 络 的 监测 ， 不 同 的 入 侵 检测 系统 之 间 也 不 能 协同 工作 。 
因此 ， 必 须发 展 大 规模 的 分 布 式 入 侵 检 测 技术 。 所 谓 分 布 式 入 侵 检 测 有 两 层 含 
义 : 第 一 层 含义 ， 即 针对 分 布 式 网 络 攻击 的 检测 方法 ; 第 二 层 含义 即使 用 分 布 
式 的 方法 来 检测 分 布 式 的 攻击 ， 其 中 的 关键 技术 为 检测 信息 的 协同 处 理 与 入 侵 
攻击 的 全 局 信息 的 提取 。 

口 智能 化 入 侵 检测 即 用 智能 化 的 方法 与 手段 来 进行 入 侵 检测 。 所 谓 的 智能 化 方法 
现 阶 段 常用 的 有 神经 网 络 、 遗 传 算法 、 模 糊 技术 、 免 疫 原 理 等 方法 ， 这 些 方法 常 
用 于 入 侵 特征 的 辨识 与 泛 化 。 应 用 智能 体 的 概念 来 进行 入 侵 检 测 也 有 所 尝试 。 

口 “入 侵 检测 的 数据 融合 技术 目前 的 IDS 还 存在 着 很 多 缺陷 : 首先 ， 目 前 的 技术 
还 不 能 对 付 训练 有 素 的 黑客 的 复杂 的 攻击 ; 其 次 ， 系 统 的 误 报 率 太 高 ; 最 后 ， 
系统 对 大 量 的 数据 处 理 ， 非 但 无 助 于 解决 问题 ， 还 降低 了 处 理 能 力 。 数 据 融 合 
技术 是 解决 这 一 系列 问题 的 好 方法 。 

口 全 面 的 安全 防御 方案 即使 用 安全 工程 风险 管理 的 思想 与 方法 来 处 理 网 络 安全 
问题 ， 将 网 络 安全 作为 一 个 整体 工程 来 处 理 。 从 管理 、 网 络 结构 、 加 密 通 道 、 
防火 墙 、 病 毒 防护 、 入 侵 检 测 多 方位 全 面 对 所 关注 的 网 络 做 全 面 的 评估 ， 并 且 
结合 防火 墙 ， 病 毒 防护 以 及 电子 商务 技术 ， 提 供 完整 的 网 络 安全 保障 。 


8.7) Snort 简介 


Snort 是 一 种 广泛 使 用 的 开源 入 侵 检测 系统 , 作为 一 个 能 够 明确 阐述 入 侵 检测 基本 理 


入 侵 检测 


论 的 入 侵 检 测 系统 ，Snort 有 以 下 几 种 特性 。 

(1) 它 是 一 个 免费 的 程序 ， 在 www.snort.org 上 可 以 免费 下 载 程序 并 取得 产品 文档 。 
最 初 它 是 为 UNIX 设计 的 ， 但 现在 同样 可 以 为 Windows 系统 服务 。 

(2) Snort 容易 操作 ， 尽 管 它 被 创作 者 认为 是 “ 轻 量 级 ”的 入 侵 检测 系统 ， 但 也 有 足 
够 的 能 力 应 付 “ 麻 烦 的 ”系统 。 


--8.7.1 Snort 的 工作 原理 - -， 

从 本 质 上 来 说 ,Snort 是 一 个 可 高 度 设 置 的 包 嗅 探 器 。 包 嗅 探 器 就 是 对 流 经 的 数据 包 
进行 窃听 或 嗅 探 的 程序 。 同 时 ，Snort 也 具有 IDS 的 功能 ， 可 以 分 析 系统 日 志 来 检测 入 侵 
行为 ， 并 且 可 以 实时 检查 网 络 数据 。 

当 嗅 探 到 来 自 网 络 的 数据 包 之 后 ，Snort 预 处 理 器 会 先 查看 数据 包 的 头 部 ， 然 后 决定 
是 否 检测 里 面 的 内 容 ，Snort 规则 的 第 一 部 分 明确 规定 了 哪 种 类 型 的 数据 包 可 以 保留 。 


@-- 8.7.2 Snort 在 Windows 下 的 安装 与 部 署 -- 
安装 平台 : Windows Server 2003，MYyYSQL，Apache，PHP5。 
需要 的 软件 包 如 下 。 
口 Snort 2 6 1 1 Installerexe Windows 版 本 的 Snort 安装 包 。 
口 Snortrules-snapshot-CURRENT.tar.gz snort 规则 库 。 
口 WinPcap 4.1.2 网络 数据 包 截 取 驱 动 程序 。 
以 上 软件 均 可 以 在 网 上 直接 下 载 获取 。 


1. 安装 WinPcap 


按 向 导 提示 完成 即 可 〈 有 时 会 提示 重启 计算 机 ) 使 网 卡 处 于 混杂 模式 ， 能 够 抓 取 数 
据 包 。 安 装 界面 如 图 8-4 所 示 。 


加 jx 
WinPeap Welcome | 人 1.2Instalation Wizard 
加 
This product is brought to you by 
二 
CACE 


TECHNOLOGIES 


Packet Capturing and Network Analysis Solutions 
习 
Next > Cancel 


图 8-4 WinPcap 的 安装 
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2. 安装 Snort 


采用 默认 安装 完成 即 可 。 
安装 完成 后 使 用 下 列 命令 行 验证 是 否 成 功 。 


C:\Snort\bin>snort.exe -W 


出 现 与 图 8-5 类 似 的 画面 即 表 示 安 装 成 功 。 


Snort 运行 中 分 为 3 个 模式 : 嗅 探 器 模式 、 日 志 记录 模式 、IDS 模式 。 


1. 嗅 探 器 模式 


以 嗅 探 器 模式 启动 Snort 是 最 简单 的 一 种 方式 。 在 这 个 模式 中 ，Snort 对 所 有 的 数据 
包 进行 嗅 探 。 在 这 种 模式 下 启动 Snort 使 用 命令 : 


$ snort -dev 


-d 选项 说 明 Snort 要 检测 所 有 网 络 层 的 数据 包头 “TCP、UDP、ICMP)。 


-e 选项 说 明 Snort 检 


测 数据 链 路 层 的 头 。 


-就 是 在 包 噢 探 器 模式 下 启动 。 


图 8-6 为 Snort 启动 
2. 日 志 记录 模式 


Snort 也 可 以 记录 数 
指定 一 个 目录 用 于 存储 
SYSnOrE =dev = < 


这 个 命令 可 以 在 包 上 


本 形式 出 现 。 如 果 需 要 二 


多 IDS 中 ，TCPDump 格 
因为 IDS 不 用 把 数据 包 生 


后 茶 一 界面 的 截图 。 


据 的 行为 ， 这 一 个 模式 称 为 包 日 志 记录 模式 。-1 选项 说 明 Snort 
志 ， 使 用 这 个 语法 可 以 存储 数据 包 的 日 志 。 

log directory> 

志 记 录 模 式 下 记录 数据 包 的 日 志 ， 所 有 的 输出 都 以 ASCII 的 文 
进 制 输出 ，Snort 可 以 生成 一 个 TCPDump 来 格式 化 文件 ， 在 很 
式 化 是 很 普遍 的 。 在 记录 日 志方 面 ， 二 进 制 数 据 比 ASCII 快 ， 
有 面 的 内 容 翻译 成 文本 数据 。Snort 使 用 -b 选项 说 明 由 二 进 制 来 
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需 % 洲 


记录 日 志 ， 并 使 用 工 选项 来 规定 二 进 制 日 志文 件 存 放 的 位 置 ， 例 如 : 


$ snort -dev -b -L {log 


Packet Wire Totals: 


FRAG 
AF 
EA 


IDS 模式 
在 IDS 模式 和 包 日 志 记 录 模 
Snort 抓 取 并 记录 其 所 监测 到 的 所 


加 规则 后 , Snort 会 对 其 所 记录 的 妖 


行 过 滤 。 规 则 一 般 都 存放 在 预先 


被 组 织 成 标准 的 文本 格式 。 
因为 会 有 很 多 不 同类 型 的 规 
要 创建 多 个 具体 的 规则 文件 并 将 


file} 


8-6 ”Snort 的 输出 截图 


式 中 ， 唯 人 人 


T 有 数据 包 
东西 根据 规 人 进 
制定 的 文件 中 ， 


则 ， 很 自然 地 就 
其 汇总 在 一 个 配 


置 文件 中 ， 默认 的 配置 文件 是 snort.conf， 配 置 文 


Hy 目 于 多 种 目的 ， 例 如 指定 哪些 
是 安全 的 ， 哪些 网 络 有 潜在 的 威 有 


网 络 可 以 被 认为 
办 。snort.conf 提 


供 的 一 个 服务 是 引用 每 一 个 行为 规则 文件 。 在 
Snort 会 话 中 通过 读 取 文 件 引 用 这 些 文件 , 读 取 文 


件 就 是 打开 规则 文件 并 将 这 些 规 
数据 库 中 。 
图 8-7 给 出 了 snort.conf 文件 和 


则 读 入 行为 规则 


的 部 分 列表 截图 。 


在 IDS 模式 下 启动 Snort， 使 用 的 命令 与 包 


日 志 记 录 模 式 类 似 并 要 加 一 


芒 | 是 | 入 | 世 | 缴 


include 
include 
include 
include 
include 
include 
include 


include 
include 
include 
include 


include 
include 


$RULE_PATH/sql.r 
SRULE_PATH/x1l.r 
$RULE_PATH/netbi 
$RULE_PATH/misc. 


$RULE_PATH/ attack-responses. rules 


$RULE_PATH/ oracl 


$RULE_PATH/mysql. 


$RULE_PATH/ sntp. 
$RULE_PATH/ inap. 
$RULE_PATH/pop2. 
$RULE_PATH/pop3. 


$RULE_PATH/ rntp. 
SRULE_PATH/backdt 


图 8-7 snort.conf 


$ snort -dev -1 /snort/logs -c /snort/etc/snort.conf 


:规则 的 设置 。 在 包 日 志 记 录 中 ， 


鱼 | 二 | 双 | 


ules 
ules 
os. rules 
rules 


e. rules 
rules 


rules 
rules 
rules 
rules 


rules 
oor. rules 


的 内 容 截 图 


配置 文件 ， 配 置 文件 提供 了 Snort 规则 的 入 口 ， 例 如 : 
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在 这 个 模式 中 ,Snort 检查 每 一 个 规则 中 规定 需要 检查 的 包 数 据 ,， 如 果 其 中 有 可 疑 数 


当 


就 会 采取 具体 措施 。 
习 


一 、 选 择 题 


1. 对 于 一 个 入 侵 ， 下 列 最 合适 的 描述 是 
人 
A. 与 安全 事故 类 似 
B. 各 种 试图 超越 权限 设置 的 恶意 使 用 
C. 任何 侵犯 或 试图 侵犯 你 的 安全 策略 的 
行为 
D. 任何 使 用 或 试图 使 用 系统 资源 用 于 犯 
罪 目 的 的 行为 
2. 下 列 哪 种 安全 策略 可 用 于 最 小 特权 原则 
的 理念 ? (  ) 
A. 白 名单 B. 严格 禁止 
C. 宽松 的 控制  D. 黑 名 单 
3. 如 果 一 个 IDS 上 报 了 一 个 异常 行为 , 但 该 
行为 是 正常 的 , 那么 IDS 犯 了 什么 错误 ?(  ) 
A. 误 报 B. 漏 报 
C. 混合 式 错误 。 D. 版 本 出 错 
4. 哪 种 入 侵 者 是 最 危险 的 , 为 什么 ? ( 。 ) 
A. 外 部 入 侵 者 ， 因 为 他 们 在 攻击 之 前 会 
大 量 地 收集 目标 系统 的 信息 
B. 内 部 入 侵 者 ， 因 为 他 们 掌握 更 多 关于 
系统 的 信息 
C. 外 部 入 侵 者 ， 因 为 大 部 分 入 侵 者 都 在 
外 部 
D. 内 部 入 侵 者， 因为 很 多 外 部 入 侵 者 都 
是 新 手 
5. 对 于 有 特征 的 入 侵 行为 , 哪 种 类 型 的 入 侵 
检测 更 适用 ? (  ) 
A. 误 用 检测 B. 异常 检测 
C. 恶意 检测 D. 外 部 检测 
6. IDS 规则 的 目的 是 什么 ? (  ) 
A. 告诉 IDS 检测 哪些 端口 
B. 限制 系统 行为 ， 如 果 违 反 了 ， 就 触发 


题 


警报 
C. 告诉 IDS 哪些 包 需 要 被 监测 ， 并 在 包 
中 检测 什么 内 容 
D. 告诉 防火 墙 哪些 数据 包 可 以 穿 过 IDS 
7. 什么 软件 可 以 阅读 其 所 在 网 络 的 数据 ? 
¢ 。 滑 
A. 特征 数据 库 
B. 包 嗅 探 器 
C. 数据 包 分 析 引 擎 
D. 网 络 扫描 
8. 哪 种 IDS 可 以 检测 特定 网 段 的 所 有 流 
量 ? ( ) 
A. 基于 网 络 的 IDS 
B. 基于 特征 的 IDS 
C. 基于 主机 的 IDS 
D. 基于 知识 的 IDS 
9. 哪 种 类 型 的 IDS 可 以 用 来 标识 外 来 攻击 
的 ? ) 
A. 在 DMZ 区 的 HIDS 
B. 在 防火 墙 与 内 部 网 络 之 间 的 NIDS 
C. 在 外 部 网 络 与 防火 墙 之 间 的 NIDS 
D. 在 DMZ 区 的 NIDS 
10. 当选 择 IDS 时 ， 哪 些 因 素 是 你 要 考虑 的 
(多 选 )? (  ) 
A. 价格 
B. 配置 与 维护 IDS 所 需要 的 知识 与 人 力 
C. 互联 网 类 型 
D. 你 所 在 的 组 织 的 安全 策略 


二 、 问 答题 


1. 入 侵 检 测 系统 都 有 哪些 检测 机 制 , 其 原理 
是 什么 ? 

2. 入 侵 检测 系统 是 如 何 分 类 的 , 其 设计 准则 
是 什么 ? 


课 后 实践 


1. 阅读 一 篇 与 网 络 安全 相关 的 报告 , 在 安全 领域 ,技术 是 不 断 地 更 新 的 ， 安 全 人 员 


入 侵 检测 


的 知识 也 在 不 停 地 更 新 , 所 以 建议 阅读 一 篇 安全 专家 的 最 新 的 安全 技术 报告 , 访问 SANS 
站 点 (www.sans.org/rr)， 在 “categories” 上 选择 Intrusion Detection， 选 择 站 点 内 的 任意 
一 篇 文档 ， 简 要 写 出 该 文档 的 要 点 和 你 所 感 兴趣 的 知识 点 。 

2. 对 于 入 侵 检测 系统 ， 只 有 在 操作 以 后 才 会 对 其 原理 有 更 深 的 理解 。 在 前 面 已 经 简 
单 地 介绍 了 Snort 的 系统 ， 为 了 更 好 地 了 解 它 的 特性 与 操作 流程 ， 建 议 尝试 使 用 Snort: 
访问 Snort (www.snort.org)， 访 问 站 点 内 的 文档 页 面 ， 然 后 使 用 Snort Users Manual、 
SNORT FAQ、 Snort Setup Guide。 

结束 后 回答 下 列 问 题 : 

(1) 列举 出 snort 的 3 个 模式 。 

(2) 解释 规则 中 规则 头 部 与 规则 选项 的 区 别 。 

(3) Snort 是 NIDS 还 是 HDS， 为 什么 ? 

3. 假如 你 是 一 个 小 型 网 络 服务 提供 商 的 安全 管理 员 , 你 的 上 司 让 你 负责 为 用 户 部 署 
IDS， 现 在 你 有 两 种 选择 : 一 种 方案 是 选择 基于 主机 的 入 侵 检 测 系统 ， 运 行 在 用 户 的 客 
户 端 上 ， 鉴 于 大 部 分 客户 都 使 用 Windows 系统 ， 因 此 只 需要 负责 Windows 操作 系统 即 
可 ,但 是 这 样 你 必须 说 服 客户 将 其 安装 到 他 们 的 电脑 上 ， 从 而 保护 他 们 的 主机 ; 还 有 一 
种 方案 是 选择 基于 网 络 的 入 侵 检测 系统 ， 部 署 在 用 户 使 用 的 网 络 上 ， 这 个 入 侵 检 测 系 统 
可 适用 于 Windows 和 UINX 系统 ， 花 费 较 低 ， 部 署 起 来 相对 简单 。 

当 你 遇 到 该 情况 ， 首 先 对 于 这 两 类 产品 ， 分 别 列举 出 不 少 于 3 种 具体 产品 出 来 ， 然 
后 决定 在 这 几 个 产品 中 选择 哪 种 产品 ,最 后 解释 一 下 为 何 要 选择 该 产品 而 放弃 其 他 产品 。 
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第 9 章 系统 安全 扫描 技术 


。 理解 系统 安全 扫描 的 含义 

。 对 操作 系统 和 TCP/IP 栈 进行 指纹 识别 
。 识别 系统 的 安全 漏洞 

。 学 习 使 用 扫描 工具 

e。 对 系统 评估 做 出 详细 的 计划 


9.1) 系统 安全 扫描 的 技术 基础 


安全 扫描 是 对 系统 评估 以 发 现 所 有 已 知 漏洞 的 过 程 。 通 常情 况 下 ， 攻 击 者 会 首先 对 
系统 进行 扫描 ， 发 现 漏洞 后 再 实施 攻击 。 因 此 ， 用 户 也 应 该 及 时 对 系统 进行 扫描 ， 发 现 
并 修补 所 存在 的 漏洞 ， 消 除 安全 隐患 。 扫 描 的 过 程 非常 简单 ， 分 为 以 下 几 个 步骤 。 

(1) 为 操作 系统 创建 一 个 列表 ， 列 表 中 包含 了 目前 所 有 已 知 的 安全 漏洞 《有 很 多 可 
用 的 资源 可 以 帮助 用 户 完成 这 个 步骤 )。 

(2) 对 列表 中 的 每 一 个 漏洞 进行 检查 以 确定 其 是 否 存在 于 系统 中 (也 有 很 多 现成 的 
工具 可 以 帮助 完成 这 一 步骤 )。 

(3) 记录 系统 存在 的 漏洞 。 

(4) 根据 严重 程度 以 及 处 理 时 所 花费 的 成 本 对 存在 的 漏洞 划分 等 级 。 

(5) 根据 情况 采取 修补 措施 。 

事实 上 ， 当 用 户 开始 真正 扫描 系统 的 时 候 ， 这 些 步骤 要 复杂 的 多 。 下 面 章 节 中 ， 将 
会 给 出 帮助 用 户 创 建 漏 洞 列 表 以 及 选择 安全 扫描 工具 的 一 系列 资源 。 


1. 创建 漏洞 列表 


系统 安全 扫描 过 程 的 第 一 步 是 创建 一 个 包含 当前 所 有 安全 漏洞 的 列表 。 在 互联 网 上 
存在 很 多 优秀 的 资源 可 以 用 来 帮助 完成 这 个 步骤 。 附 表 A-1 列 出 了 维护 着 最 新 漏洞 列表 
的 网 站 ， 这 对 用 户 的 帮助 非常 大 ， 用 户 可 以 参考 。 


2. 选择 安全 扫描 工具 


建立 完成 安全 漏洞 列表 之 后 ， 用 户 要 对 列表 上 的 每 一 个 漏洞 进行 检测 。 在 网 络 上 有 
很 多 用 户 可 用 的 资源 来 完成 这 一 步 又。 用 户 可 以 雇佣 提供 评估 服务 的 公司 ， 或 使 用 多 种 
自动 工具 来 完成 这 项 繁琐 的 工作 。 
雇佣 第 三 方 来 执行 评估 的 优点 是 用 户 不 需要 自己 处 理 这些 事 情 。 大 部 分 工作 就 是 对 
扫描 工具 进行 正确 设置 以 及 创建 公司 处 理 的 漏洞 报告 。 事 实 上 ， 法 律 诉讼 、 产 业 标 准 或 
是 投资 要 求 等 多 种 情况 ， 都 需要 第 三 方 进行 外 部 评估 。 雇 佣 外 部 公司 的 缺点 是 用 户 很 难 
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控制 评估 的 完成 过 程 。 用 户 同样 失去 了 及 时 评估 系统 的 能 力 。 另 外 ,这 样 的 成 本 会 很 高 ， 
并 且 很 可 能 不 是 很 灵活 。 

不 论 用 户 是 自己 完成 评估 还 是 雇佣 他 人 来 完成 评估 ， 方 法 基本 是 一 样 的 。 用 户 的 目 
标 是 发 现 所 有 能 够 被 发 现 的 漏洞 ， 然 后 减少 或 消除 这 些 漏 洞 。 需 要 注意 的 是 ， 并 不 是 每 
一 个 漏洞 都 值得 处 理 。 在 考虑 需要 处 理 哪 一 个 漏洞 的 时 候 ， 要 考虑 到 漏洞 被 利用 的 可 能 
性 以 及 处 理 的 开销 。 为 了 讨论 方便 ， 假 设 用 户 自己 扫描 系统 的 安全 漏洞 。 用 户 可 以 从 多 
个 工具 箱 中 选择 工具 。 附 表 A-2 列 出 了 用 户 可 以 获得 安全 扫描 软件 的 网 站 当然， 这 只 
包含 了 一 部 分 列表 ,还 有 很 多 其 他 的 扫描 工具 是 可 用 的 )。 在 本 章 剩 下 的 部 分 ,将 会 使 用 
Nessus 扫描 工具 进行 讨论 。 

用 户 需 要 花费 一 些 时 间 找 到 支持 自己 操作 系统 的 产品 ， 并 且 了 解 每 一 种 产品 的 功能 
特性 。 从 供应 商 的 文件 入 手 ， 寻 找 关 于 产品 使 用 的 所 有 网 页 资源 以 及 使 用 建议 。 用 户 也 
可 以 翻阅 书籍 。 出 版 商 已 经 注意 到 了 安全 话题 在 IP 领域 的 发 展 趋势 ,所 以 关于 安全 话题 
的 图 书 数量 不 断 地 增长 。 无 论 用 户 如 何 收集 信息 ， 都 要 了 解 所 选择 的 扫描 工具 ， 然 后 准 
备 开 始 扫描 。 


9.2) 操作 系统 指纹 识别 工具 


对 系统 进行 扫描 的 第 一 个 任务 是 找 出 计算 机 上 运行 的 操作 系统 。 检 查 远程 计算 机 上 
运行 的 操作 系统 的 过 程 叫做 操作 系统 指纹 识别 。 大 多 数 的 攻击 者 只 针对 一 种 操作 系统 ， 
甚至 只 针对 特定 版 本 的 操作 系统 进行 攻击 。 识 别 计算 机 运行 的 操作 系统 之 后 ， 用 户 就 可 
以 检查 系统 安全 漏洞 了 。 漏 洞 检查 过 程 就 是 参照 特定 操作 系统 已 知 漏洞 的 指纹 信息 进行 
对 比 。 大 多 数 安全 扫描 工具 ， 都 参考 已 知 的 漏洞 数据 库 来 创建 进一步 的 行动 列表 。 保 持 
漏洞 数据 库 的 及 时 更 新 是 非常 重要 的 。 就 像 病毒 签名 数据 库 ， 全 面 评估 的 有 效 性 相当 程 
度 上 依赖 于 数据 库 的 状态 。 

根据 用 户 的 需要 ， 可 以 进行 不 同 复杂 程度 的 操作 系统 指纹 识别 会 话 扫描 。 大 多 数 扫 
描 工 具 能 够 提供 较为 复杂 详细 的 操作 系统 指纹 信息 。 如 果 用 户 只 需要 操作 系统 的 指纹 信 
息 ， 有 多 种 工具 可 供 选择 。 附 表 A-3 列 出 了 可 以 使 用 来 识别 操作 系统 的 3 种 常见 工具 。 

不 同 工 具 使 用 不 同 的 技术 来 识别 操作 系统 类 型 ， 但 所 有 工具 的 原理 都 是 一 致 的 ， 都 
是 利用 通信 如 何 建立 、 如 何 维护 的 知识 对 操作 系统 进行 识别 。 不 同 的 操作 系统 处 理 网 络 
通信 是 不 同 的 ， 在 同一 种 操作 系统 的 不 同 版 本 之 间 甚 至 也 存在 明显 的 差异 。 操 作 系 统 的 
指纹 识别 功能 通常 发 送 针对 目标 计算 机 而 设计 的 数据 包 ， 并 通过 检验 计算 机 的 响应 来 确 
定 操作 系统 。 


9.3) 网 络 和 服务 器 扫描 工具 


确定 目标 计算 机 运行 的 操作 系统 之 后 ， 需 要 确定 计算 机 上 运行 的 软件 。 用 户 可 以 通 
过 询问 开放 的 端口 号 〈 很 可 能 在 操作 系统 识别 的 过 程 中 就 已 经 获得 了 系统 的 开放 端口 信 
息 ) 并 分 析 计算 机 的 响应 来 完成 这 个 步骤 。 在 这 个 步骤 中 ， 需 要 用 到 另外 一 个 数据 库 。 
用 户 可 以 尝试 下 面 这 个 方法 : 使 用 远程 登录 来 连接 系统 上 所 有 开放 的 端口 号 。 使 用 下 面 
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这 个 命令 来 连接 一 个 本 地 计算 机 〈127.0.0.1， 通 常 叫做 本 地 主机 ) 上 的 80 端口 : 
$ telnet 127.0.0.1 80 


按 几 次 Enter 键 ， 就 会 收 到 计算 机 的 响应 。 图 9-1 给 出 了 在 一 个 运行 着 Windows XP 
系统 的 计算 机 上 输入 telnet 之 后 的 响应 。 


TIP/A ,1 90 Bad, Roquesr, 

Server: Microsoft-118/5. 

Detes Prd, 23° Bus 2083 61:35:36 GT 
ontent 区 上 goss$ hs nl 
ontent—Leng 


benl3Shead>title Errorc/title Yc /hoad>cbody>The paraneter is incorrect. </hody> 


‘onnection to host losc- 


nichaeleSecurity ~ 


图 9-1 运行 telnet 命令 后 的 响应 


即使 用 户 只 是 询问 ， 但 有 些 应 用 程序 也 会 给 出 很 多 信息 。 例 如 用 户 连接 一 个 端口 ， 
然后 发 送 一 个 或 两 个 回 车 ， 监 视 端 口 的 程序 就 会 为 未 知 的 程序 产生 欢迎 信息 。 这 种 欢迎 
信息 叫做 标语 。 对 于 系统 之 间 的 对 话 ， 标 语 起 到 了 很 好 的 作用 ， 但 当 用 户 想 要 加 固 系 统 
的 时 候 标语 信息 就 会 暴露 更 多 的 系统 信息 。 因 此 ， 用 户 应 该 找到 抑制 或 改变 标语 信息 的 
方法 来 避免 向 攻击 者 透漏 信息 。 例如 , 通过 下 面 这 个 命令 来 连接 本 地 计算 机 上 的 21 号 端 
口 (21 号 端口 是 大 多 数 FTP 服务 器 监听 的 端口 ): 


$ telnet 127.0.0-1 21 


连接 建立 之 后 就 会 接收 到 一 个 标语 信息 。 图 9-2 给 出 了 运行 Windows XP 的 计算 机 
在 收 到 telnet 命令 之 后 的 反应 。 


soft 


到 


图 9-2 运行 telnet 命令 之 后 的 响应 
扫描 程序 利用 系统 提供 的 标语 信息 来 检测 运行 在 计算 机 上 的 程序 及 其 版 本 。 同 时 这 
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些 信 息 可 以 被 用 来 寻找 漏洞 数据 库 中 相关 的 软件 漏洞 。 


9.4) IP 栈 指纹 识别 


Internet 协议 (IP) 栈 指 纹 识 别 是 用 来 进行 操作 系统 指纹 识别 最 重要 的 工具 。 不同 的 
操作 系统 ， 甚 至 是 同一 种 操作 系统 的 不 同 版 本 都 以 不 同 的 方式 处 理 通信 。 向 目标 计算 机 
发 送 专门 构造 的 网 络 数据 包 ， 然 后 分 析 收 到 的 响应 ， 就 能 够 判断 出 目标 计算 机 上 的 操作 

下 面 介绍 几 种 对 操作 系统 进行 指纹 识别 的 工具 。 

(1) Nmap 扫描 工具 有 9 种 独立 的 测试 。 在 每 种 测试 中 ，Nmap 同时 向 目标 计算 机 的 
3 种 端口 发 送 一 定数 量 的 TCP 和 UDP 数据 包 。 这 3 种 端口 是 开放 的 TCP 端口 、 关 闭 的 
TCP 端口 和 关闭 的 UDP 端口 。 每 个 数据 包 都 设置 了 详细 的 标志 位 来 引起 特定 的 响应 。 
收 到 响应 数据 包 后 , 对 数据 包 进行 分 析 , 并 和 已 知 下 栈 的 响应 进行 比较 。 如 果 结 果 匹 配 ， 
就 说 明 在 目标 计算 机 上 运行 着 相应 的 IP 栈 和 操作 系统 。 使 用 这 种 指纹 识别 方法 ，Nmap 
能 够 识别 超过 870 种 操作 系统 指纹 。 

(2) Sprint 扫描 工具 是 另 一 种 创建 卫 和 操作 系统 指纹 的 工具 ， 能 以 主动 方式 或 被 动 
方式 运行 。 在 主动 方式 中 ，Sprint 主动 和 目标 计算 机 建立 连接 ， 并 且 交换 各 种 数据 包 ， 
并 且 能 够 对 接收 到 的 数据 包 的 SYN/ACK 标志 进行 分 析 来 猜测 操作 系统 的 类 型 。 在 被 动 
方式 中 ，Sprint 仅 是 侦 听 来 自 于 目标 计算 机 的 数据 包 ， 并 且 执 行 同样 的 SYN/ACK 标志 
分 析 。 除 了 猜测 操作 系统 ，Sprint 同时 也 能 够 给 出 正常 的 开机 运行 时 间 信 息 。 除 此 之 外 ， 
Sprint 还 能 运行 复杂 的 标志 抓 取 功 能 来 发 掘 更 多 的 系统 信息 。 

(3) Xprobe2 向 目标 计算 机 发 送 特定 的 ICMP 或 TCP 数据 包 , 并 分 析 计 算 机 的 响应 。 
Xprobe2 不 需要 首先 扫描 目标 计算 机 的 端口 。 比 起 Nmap 和 以 主动 形式 运行 的 Sprint， 端 
口 扫 描 功 能 的 缺失 以 及 ICMP 数据 包 的 使 用 在 计算 机 上 引起 了 一 定 的 干扰 。Xprobe2 同 
样 使 用 指纹 矩阵 的 方法 来 代替 线性 方法 ， 通 过 使 用 指纹 矩阵 能 够 产生 “近似 匹配 ” 当 其 
他 的 工具 返回 检测 失败 的 时 候 ，Xprobe2 却 能 够 做 出 一 个 积极 的 响应 。 


对 系统 进行 扫描 时 ， 另 一 个 需要 考虑 的 重要 方面 就 是 网 络 资源 的 共享 。Windows 操 
作 系统 允许 用 户 和 其 他 网 络 用 户 共享 文件 夹 和 打印 机 等 资源 。 在 Windows 中 ,这些 共享 
资源 被 叫做 shares。 为 了 方便 远程 用 户 的 访问 ， 许 多 共享 资源 只 有 最 小 程度 的 保护 甚至 
是 没有 保护 。 更 糟糕 的 是 ， 大 多 数 的 Windows 用 户 已 经 习惯 了 访问 共享 网 络 资源 ， 并 且 
抵御 任何 想 要 限制 这 种 访问 的 行为 。 

Windows 使 用 服务 器 信息 块 (SMB) 协议 提供 对 共享 网 络 资源 的 访问 。 对 于 UNIX 
系统 , Samba 软件 提供 了 同样 的 资源 共享 功能 。 事实 上 , 运行 在 UNIX 计算 机 上 的 Samba 
允许 Windows 的 用 户 访问 UNIX 计算 机 上 的 资源 ,同时 允许 UNIX 的 用 户 访问 Windows 
的 网 络 资源 。 在 一 个 局 域 网 中 ，Windows 用 户 使 用 UNIX 服务 器 的 共享 文件 夹 和 共享 打 
印 机 是 很 常见 的 。 
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Windows 共享 资源 功能 存在 3 个 比较 主要 的 安全 漏洞 。 

(1) 共享 资源 增加 了 非 授权 用 户 获 得 资源 访问 权 的 可 能 性 。 用户 共享 一 个 资源 之 后 ， 
就 必须 考虑 对 资源 的 访问 控制 。 如 果 某 一 个 用 户 的 文件 夹 能 够 被 局 域 网 的 所 有 人 访问 ， 
攻击 者 就 可 以 通过 攻破 局 域 网 的 任何 一 台 计 算 机 来 获得 对 资源 的 访问 。 在 所 有 安全 事故 
中 ， 攻 击 者 总 是 会 寻找 系统 中 最 薄弱 的 环节 进行 攻击 。 

(2) SMB 应 用 以 及 Samba 都 包含 着 一 定 的 缺陷 。 在 著名 的 漏洞 网 站 上 ， 就 有 几 种 
Windows 共享 资源 的 软件 漏洞 。 用 户 要 确保 了 解 最 新 的 软件 漏洞 ， 保 证 所 有 软件 的 及 时 
更 新 。 

(3) 网 络 资源 共享 的 漏洞 使 得 攻破 一 台 计算 机 等 同 于 攻破 一 组 计算 机 。 如 果 攻 击 者 
获得 了 网 络 上 一 台 计 算 机 的 访问 ， 他 就 能 够 将 恶意 代码 引入 到 共享 文件 夹 中 ， 随 后 影响 
整个 网 络 。 除 非 对 每 个 共享 资源 进行 扫描 ， 否 则 在 很 长 的 一 段 时 间 内 这 个 问题 都 不 会 引 
起 注意 。 糟 糕 的 是 ， 由 于 对 整个 网 络 进行 扫描 会 耗费 很 多 的 时 间 和 资源 ， 很 多 防 病毒 软 
件 的 默认 设置 都 跳 过 对 共享 文件 夹 和 对 应 驱动 机 的 扫描 。 

由 于 Windows 的 网 络 资源 共享 存在 诸多 问题 ， 因 此 建议 慎 用 这 些 功 能 。 如 果 用 户 必 
须 共享 资源 ， 就 要 确保 了 解 资源 的 位 置 ， 保 证 每 一 种 资源 都 是 安全 的 。 在 Windows 2003 
之 前 ， 共 享 的 默认 设置 是 Everyone-Full Control 权限 ， 也 就 是 说 如 果 用 户 创建 了 一 个 共 
享 ， 并 且 没 有 限制 对 它 的 访问 ， 那 么 所 有 人 都 能 够 对 这 个 共享 资源 进行 读 和 写 。 通 过 在 
命令 提示 符 下 输入 net share， 用 户 可 以 在 Windows 计算 机 上 查看 所 有 的 本 地 系统 共享 。 
共享 资源 的 扫描 工具 叫做 共享 扫描 ， 原 理 是 通过 向 用 户 网 络 发 送 SMB 数据 包 检 查 所 有 
活跃 的 资源 共享 。 和 处 理 所 有 的 安全 事件 一 样 ， 对 共享 资源 的 保护 ， 要 确保 用 户 比 攻击 
者 了 解 更 多 的 信息 ,要 限制 用 户 直接 泄露 的 信息 数量 。 要 经 常 对 用 户 网 络 进行 共享 扫描 ， 
以 保证 用 户 使 用 的 所 有 资源 的 安全 。 有 多 种 用 于 扫描 网 共享 络 资源 的 工具 。 图 9-3 给 出 
了 使 用 Nessus 扫描 工具 得 到 的 某 一 个 网 络 上 的 共享 资源 结果 。 


Vulnerability found on port unknown (32768/ndp) 


:The remote statd service could be brought down;with aformat string attack - it now needs to:be restarted manually ;;This means 
that an attacker may execute arbitrary;code thanks to a bug in this daemon ;;Solution : upgrade to the latest version of pc.statd;Risk 
factor : High 

CVE : CVE-2000-0666 

NessusID :10544 


back to the list of ports 
Warning found on port unknown (32768/udp) 
The statd RPC service is running :This service has along history of :security holes. so you should really:know what you are doing 
you decide:to letit run;;* NO SECURITY HOLE REGARDING THIS; PROGRAM HAVE BEEN TESTED, SO; THIS MIGHT BE A 
FALSE POSITIVE *;:We suggest you to disable this:service :::Risk factor : High 
CVE : CVE-1999-0018 
NessusID :10235 
back to the list of ports 
Information found on port general/udp 


For your information, here is the traceroute to 192.168.0.1 
192.168.0.1Nessus ID - 10287 


back to the list of ports] 属 


图 9-3 ”Nessus 得 到 的 某 一 个 网 络 上 的 共享 资源 结果 
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19.5) Telnet 查询 


上 文 在 介绍 扫描 工具 的 时 候 已 经 对 telnet 命令 进行 了 介绍 。 默 认 情况 下 ，telnet 命令 
使 用 23 号 端口 。 如 果 用 户 发 布 一 个 常规 的 telnet 命令 ， 这 个 命令 就 会 使 用 23 号 端口 和 
远 端 主机 进行 通信 ， 例 如 下 面 这 种 形式 


$ telnet 192.168.1.1 


然而 , 如 果 用 户 在 命令 行 的 最 后 加 上 特定 的 端口 号 , telnet 命令 就 会 使 用 特定 的 端口 
号 进行 通信 ， 例 如 下 面 的 形式 : 


$ telnet 192.168.1.1 80 


这 个 telnet 命令 试图 使 用 80 端口 与 他 地 址 为 192.168.1.1 的 主机 进行 通信 。 很 多 侦 
听 TCP 端口 的 服务 在 用 户 联系 它们 的 时 候 会 给 出 一 些 响应 。 这 样 使 用 telnet 命令 就 能 够 
在 发 送 数据 之 前 判断 是 否 连接 到 了 正确 的 服务 。 因 此 能 够 对 计算 机 进行 扫描 并 找到 运行 
的 服务 。 

telnet 被 广泛 认为 是 不 安全 的 。 用 户 输 入 给 telnet 的 所 有 内 容 都 是 以 明文 的 形式 在 网 
络 中 传播 的 。 也 就 是 说 ， 通 过 telnet 传输 的 所 有 文本 都 可 以 被 第 三 方 截获 并 读 取 。 如 果 
用 户 使 用 telnet 登录 一 个 远程 系统 ， 用 户 的 口令 就 会 以 明文 的 形式 传输 。 为 了 避免 这 一 
安全 隐患 ， 用 户 可 以 使 用 安全 外 壳 〈SSH) 这 样 的 方法 替代 telnet。SSH 使 用 加 密 的 方法 
降低 了 用 户 对 话 被 截获 的 可 能 性 。 

对 网 络 分 析 而 言 , telnet 的 基本 功能 能 够 起 到 很 大 的 作用 , 可 以 使 用 户 直 接 和 远程 服 
务 进行 交互 。 熟 练 使 用 telnet 可 以 帮助 用 户 扫 描 和 分 析 很 多 网 络 漏洞 。 


9.6) TCP/IP 服务 漏洞 


最 容易 被 攻击 者 利用 的 攻击 点 就 是 网 络 中 非 必要 的 和 过 时 的 服务 。 目 前 大 多 数 的 网 
络 服务 都 使 用 TCP/IP 协议 为 不 同系 统 之 间 的 通信 提供 接口 .尽管 统一 的 标准 提供 了 更 多 
的 通信 灵活 性 ， 但 同时 也 留 下 了 大 量 的 攻击 后 门 。 为 了 增加 系统 的 安全 性 ， 用 户 应 该 关 
闭 那些 非 必要 的 网 络 服务 ， 原 因 如 下 。 

(1) 非 必要 的 服务 为 攻击 者 提供 了 更 多 的 访问 用 户 系统 的 入 口 点 。 

(2) 非 必要 的 服务 消耗 系统 资源 ， 使 系统 变 慢 。 

(3) 非 必要 的 服务 很 可 能 使 用 的 是 旧版 的 软件 ， 使 得 这 些 服务 更 容易 被 攻击 。 

(4) 如 果 一 项 服务 不 是 必要 的 ， 那 么 该 服务 产生 的 活动 就 是 不 连续 的 。 这 就 更 不 容 
易 检 测 到 利用 该 项 服务 的 攻击 者 的 攻击 活动 。 

基于 以 上 原因 ， 用 户 应 当 识别 出 系统 所 有 非 必要 的 服务 ， 关 闭 或 删除 它们 。 这 也 是 
使 用 安全 扫描 工具 的 一 个 重要 用 途 。Nmap 扫描 开放 的 端口 ， 然 后 在 一 个 本 地 文件 中 查 
找 常 见 的 端口 服务 。 如 果 目 标 计 算 机 在 一 个 常见 端口 运行 着 一 个 非 标准 服务 ，Nmap 就 
会 做 出 服务 不 正确 的 报告 。 扫 描 的 另 一 种 方式 是 连接 一 个 端口 ， 然 后 检测 目标 计算 机 发 
送 回来 的 所 有 商标 信息 。 图 9-4 给 出 了 Nessus 扫描 工具 的 一 个 报告 。 这 个 特殊 的 扫描 工 
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其 识别 运行 在 目标 计算 机 上 的 网 络 服 务 。 


| 192.168.0.128 - Microsoft Internet Explorer 


Fle Edt View Favorites Toos Heip 


Next host - 192.168.0.248] 


| List of open ports: 


9 loc-sry (135/tcp) (Security war Er pun 


(Security notes 2 

curity notes founad) 

o uinown (4024/tcp)} sip er 

© gener dy {Security notes found) 

o general/icomp (Security warnings found) 

o netbios-ns (137/udp) (Security warnings found) 

back to the fist of ports 


Warning found on port loc-srv (135/tcp) 


DCE services running on the remote can be enumerated 
by conmnecting on port 135 and doing the appropriate 
queries. 


An attacker may use this fact to gain more knowledge 
about the remote host. 


Solution : filter incoming traffic to this port- 
Risk factor : Low 
Nessus ID : 10736 


back to the tist ofports ] a 
9-4 ”Nessus 的 一 个 报告 


很 多 TCP/TIP 服务 存在 着 漏洞 ， 并 且 漏 洞 列表 经 常 变化 。 用 户 在 进行 系统 扫描 之 前 ， 
要 对 扫描 软件 和 漏洞 库 及 时 更 新 。 在 Nessus 扫描 的 案例 中 , 保持 产品 的 更 新 是 很 容易 的 。 
Nessus 的 漏洞 扫描 工具 是 模块 化 编写 的 ， 其 采取 的 所 有 行动 都 是 通过 追加 程序 或 外 挂 程 
序 定义 的 。 为 了 保持 Nessus 的 更 新 ,用 户 只 需要 保持 每 一 个 插件 的 更 新 。Nessus 含有 一 
个 命令 自动 来 完成 这 项 功能 , 下面 这 个 命令 就 会 访问 Nessus 网 站 (http://www.nessus.org)， 
并 且 下 载 所 有 的 更 新 插件 : 


$ nessus-update-plugins 

但 是 插件 自动 更 新 并 不 能 免除 用 户 自己 进行 更 新 的 需要 。 用 户 要 订阅 一 个 安全 更 新 
邮件 或 经 常 登录 安全 网 站 查找 更 新 信息 。 附 表 A-4 列 出 了 部 分 安全 漏洞 邮件 列表 以 及 通 
信 订 阅 页 。 


87 TCP/IP 简单 服务 


网 络 服务 通过 在 多 台 计 算 机 之 间 传 送信 息 来 完成 。 为 了 实现 信息 的 顺利 传送 (尤其 
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是 使 用 TCP/IP 协议 集 的 时 候 )， 最 常 使 用 的 策略 就 是 使 用 端口 。 端 口 使 得 一 台 计 算 机 上 
能 够 运行 多 个 服务 ， 并 且 能 够 提供 不 同 的 服务 和 功能 。 访 问 网 络 服务 的 远程 客户 端 需要 
知道 的 就 是 服务 所 在 的 主机 名 字 以 及 服务 侦 听 的 端口 号 。 

标准 的 TCP/IP 应 用 允许 的 端口 号 范围 从 1 到 65534。 其 中 , 0 号 到 1023 号 被 标准 服 
务 使 用 ， 这 些 端口 又 被 叫做 知名 端口 号 。 每 个 操作 系统 都 有 一 个 文件 维持 着 知名 端口 列 
表 ， 以 及 用 户 为 自己 的 系统 定制 的 端口 的 分 配 情况 。 这 个 文件 通常 叫做 services。 表 9-1 
列 出 了 在 Windows 和 UNIX 系统 中 services 文件 的 位 置 。 


表 9-1 Windows 和 UNIX 中 services 文件 的 位 置 


操作 系统 Service 文件 位 置 
Windows %windir yo\System32\Drivers\Etc\Services 
UNIX /etc/services 


在 一 个 通用 services 文件 中 , 有 很 多 的 条 目 。 图 9-5 给 出 了 来 自 于 红 帽 Linux 计算 机 
的 services 文件 的 一 部 分 。 在 这 个 文件 中 把 服务 名 字 〔 例 如 FTP)， 端 口 以 及 使 用 的 协议 
联系 在 一 起 。 在 FTP 的 例子 中 ， 端 口号 为 21， 协议 为 TCP。 用 户 应 该 知道 大 多 数 系统 支 
持 的 常见 TCP/IP 协议 , 能 够 帮助 用 户 了 解 整体 的 系统 知识 , 同样 也 能 帮助 用 户 识别 哪 一 
种 服务 最 可 能 成 为 攻击 者 的 目标 。 


四 x 
Each line describes one service, and is of the form: 全 
service-nane port/protocol [aliases ...] [# comnent] 

cpnux 1/tep t# ICP port service multiplexer 
Cpnux 1/udp ICP port service multiplexer 
je 5Atcp 基 Remote Job Entry 

je S/udp 外 Remote Job Entry 

cho 7/tep 

cho ?Audp 

iscard 9vAtcp sink null 

iscard 9rudp sink null 

ystat li/tcep users 

ystat 1i/udp users 

ayt ime 13/tcep 

ayt ime 13/udp 

otd 1?7/tep quote 

otd 1?7/udp quote 

sp 18/tep tt message send protocol 

sp 18/udp 站 message send protocol 

hargen 19/tcp ttytst source 

hargen 19/udp ttytst source 

Ds 2 

tp-data /Au 

41,1 2x BE 


图 9-5 红 帽 Linux 计算 机 services 文件 概况 


Windows 操作 系统 定义 了 5 种 特殊 的 服务 作为 TCP/IP 简单 服务 (Simple TCP/IP 
Services)。 事 实 上 ， 这 些 服务 是 为 测试 的 目的 而 设计 的 。 如 果 用 户 不 需要 这 些 服务 ， 就 
可 以 把 它们 关闭 。 如 果 用 户 决 定 关 闭 在 Windows XP 系统 中 的 这 些 程序 ， 下 面 的 连接 会 
告诉 用 户 如 何 操 作 : 

http://www.lokbox.net/SecureXP/simpleTCPIP.asp 

对 于 Windows 2000 的 用 户 ， 尝 试 这 个 连接 : 
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http://www.lokbox.net/SecureWin2k/simpleTCPIP.asp 

关闭 UNIX 系统 的 服务 的 步 又 会 因 供 应 商 而 不 同 ， 可 以 咨询 系统 管理 员 记 录 来 查找 
关闭 不 需要 的 服务 所 需要 的 步骤 。 表 9-2 列 出 了 Windows 操作 系统 定义 为 TCP/IP 简单 
服务 的 5 种 服务 。 


表 9-2 Windows 操作 系统 的 5 种 简单 TCP/IP 服务 


服务 名 称 端口 ”描述 

CHARGEN (Character Generator) Service 侦 听 19 号 端口 ， 等 待 连接 ， 之 后 通过 连接 倾倒 
字符 

Daytime Server 13 提供 系统 日 期 和 时 间 

Discard Server 9 丢弃 收 到 的 所 有 东西 

Echo Server 对 收 到 的 所 有 通信 进行 响应 

Quote of the Day 17 给 出 当前 日 期 


9.8)】 安全 扫描 总 结 


为 了 更 有 效 地 对 一 个 系统 进行 扫描 ， 用 户 需要 下 面 5 个 方面 的 要 素 : 目标 、 权 限 、 
过 程 、 耐 心 和 坚持 。 

(1) 对 于 扫描 系统 用 户 必 须 设 定 明确 的 目标 。 由 于 会 花费 较 多 的 时 间 ， 因 此 用 户 应 
该 做 出 合理 的 时 间 安 排 。 要 认识 到 扫描 对 于 系统 安全 的 重要 性 。 用 户 目 标 能 够 帮助 选择 
扫描 工具 以 及 管理 项 目的 方式 。 如 果 用 户 没 有 合适 地 定义 自己 的 目标 ， 可 能 做 一 些 多 余 
的 工作 。 

(2) 用 户 必须 获得 所 需要 的 权限 来 对 系统 进行 扫描 和 评估 。 如 果 用 户 事 先 没有 获得 
权限 ， 很 可 能 会 遇 到 麻烦 。 

(3) 确定 扫描 的 过 程 。 不 要 在 一 开始 的 时 候 就 进行 扫描 ， 要 思考 一 下 自己 想 要 扫描 
的 是 什么 东西 。 减 少 扫描 的 范围 能 够 很 大 程度 地 提高 扫描 的 速度 。 用 户 还 需要 决定 扫描 
的 入 侵 程度 ， 选择 评估 是 主动 进行 还 是 被 动 进行 ;决定 评估 过 程 是 想 秘密 进行 还 是 希望 
高 调 进行 ， 决 定 是 否 计划 发 动 攻击 目标 的 攻击 。 这 些 问 题 是 用 户 计 划 扫 描 过 程 时 需要 被 
考虑 的 因素 。 用 户 需要 花 时 间 制 定 详细 的 计划 ， 以 避免 漏 掉 重要 的 步骤 。 

(4) 最 后 的 因素 是 相关 联 的 。 用 户 对 目标 进行 彻底 的 评估 必须 有 足够 的 耐心 。 很 多 
测试 都 是 重复 进行 的 ， 并 且 速 度 很 慢 。 但 如 果 测 试 是 必须 的 ， 就 必须 坚决 执行 。 制 定 一 
个 周密 详尽 的 计划 ， 然 后 耐心 地 实施 ， 在 完成 之 前 不 要 停 下 来 。 很 多 时 候 ， 扫 描 过 程 会 
受到 时 间 和 状态 很 大 的 影响 。 某 个 星期 执行 的 扫描 结果 很 可 能 和 接 下 来 的 一 个 星期 进行 
的 相似 的 扫描 是 不 相同 的 。 尽 可 能 将 所 有 必须 的 评估 放 在 一 起 执行 。 

建议 用 户 使 用 Nessus 漏洞 扫描 工具 。Nessus 的 网 站 地 址 是 http://www.nessus.org， 
此 网 站 提供 了 Nessus 扫描 程序 、 文 档 材 料 以 及 如 何 使 用 Nessus 的 简单 教程 。 不 论 选择 
哪 种 工具 ， 都 要 学 会 如 何 使 用 它们 。 然 后 依照 这 5 个 步 又， 用户 就 能 够 执行 高 效 的 系统 
扫描 并 获得 第 一 手 信息 来 增加 系统 的 安全 。 
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习 题 
We C. 对 受到 的 所 有 通信 进行 响应 
= 光泽 归 D. 提供 系统 日 期 和 时 间 
1. Telnet 命令 的 默认 端口 号 是 什么 ?( ) 二 、 简 答题 
A.80 B. 8080 
el D. 23 1. 什么 是 安全 扫描 ， 其 基本 步骤 是 什么 ? 
2. 在 Windows 操作 系统 中 ， 端 口号 9 提供 2. Windows 的 共享 资源 存在 哪些 安全 漏洞 ， 
什么 服务 ? ) 该 如 何 防范 ? 
A. 给 出 当前 日 期 3. 操作 系统 指纹 识别 有 哪些 方法 和 常见 
B. 丢弃 收 到 的 所 有 东西 工具 ? 
i 
后 实践 与 思考 
网 络 安全 扫描 器 〈X-Scan) 的 使 用 
一 、X-Scan 简介 


X-Scan 采用 多 线程 方式 对 指定 IP 地 址 段 (或 单机 ) 进行 安全 漏洞 检测 ， 支 持 插件 。 加 员 
功能 。 扫 描 内 容 包括 远程 服务 类 型 、 操 作 系统 类 型 及 版 本 ， 各 种 弱 口 令 漏 洞 、 后 门 、 应 
用 服务 漏洞 、 网 络 设备 漏洞 、 拒 绝 服务 漏洞 等 20 多 个 大 类 。 对 于 多 数 已 知 漏洞 ， 给 出 了 
相应 的 漏洞 描述 、 解 决 方案 及 详细 描述 链接 。 

1. X-Scan 图 形 界面 〈 见 图 9-6) 


ET 
OjPhne| 国 | 国光 回 
车道 信息 上演 河 信息 | 钳 尖 全 总 | 


se 3 作 有 澡 明 


一。 系 志 要 家 :Wiadews N/a000 /XP/2005 
理论 上 可 放行 于 Windoys Il 脾 作 不 统 ， 改 芝 光 行 于 finkovs 2000tL 上 Sorver 痢 4ew< 友 经 ， 


m 和 
A 


= 办 内 本” 
ee 
,本 下 过 设 壮 “LANSINGE\SELECTID” 项 浊 行 语言 切 扳 
用 于 保存 当 村 全 en 让座 客 
必 ts sD 


i 


四 从 二 工作 : 


san 于 他 业 要 欢 隆 5 ES 3 
| 和 和 FR rc ) ,I 


et 
91 
只 太 御 中 次 取 二 负 玫 于” 四 流 童 于 各 从 文人 中 该 了 入 风机 ;入 ， 文 伯 检 式 应 力 广 本 ， 半 一 可 可 亿 二 外 立地 二 虹 各 ,也 可 各 训 以 “向 “” 基 后 克 P 和 图- 
“全 局 村" 而 


se 二 
图 9-6 X-Scan 图 形 界面 
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2. 扫描 参数 
选择 “设置 ”一 “扫描 参数 ”命令 ， 打 开 如 图 9-7 所 示 的 窗口 。 


CGI 相关 设置 
字典 文件 设置 


图 9-7 “扫描 参数 ”窗口 
选择 “检测 范围 ”模块 ， 如 图 9-8 所 示 ， 在 “指定 卫 范围 ”输入 要 扫描 的 人 P 地 址 
范围 ， 如 : “192.168.36.1-255，192.168.3.25-192.168.3.80”。 


指定 IP 范 围 : 


92. 168. 36. 1-255, 192. 168. 3. 25-192. 168. 3. 80| 


tw | 


9-8 ”扫描 参数 设置 


3. 设置 “全 局 设置 ”模块 
(1)“ 扫 描 模 块 ”项 :选择 本 次 扫描 要 加 载 的 插件 ， 如 图 9-9 所 示 。 


(2)“ 并 发 扫描 ”项 : 设置 并 发 扫描 的 主机 和 并 发 线程 数 ， 也 可 以 单独 为 每 个 主机 的 
各 个 插件 设置 最 大 线程 数 ， 如 图 9-10 所 示 。 

(3) “扫描 报 告 ”项 : 在 此 模块 下 可 设置 扫描 后 生成 的 报告 名 和 格式 ， 扫 描 报告 格式 
有 TXT、HIML、XML 3 种 格式 ， 如 图 9-11 所 示 。 
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图 9-10 并 发 扫描 设置 


报告 文件 
92168- 36_1-255 ,192_1683.25-192_168 
报 省 文件 类 型 : 


9-11 扫描 报告 设置 
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(4)“ 其 他 设置 ”项 : 使 用 默认 选项 ， 如 图 9-12 所 示 。 


字典 文件 设置 


图 9-12 其 他 设置 


4. 设置 “插件 设置 ”模块 
在 “插件 设置 ”模块 中 使 用 默认 设置 。 
(1) 端口 相关 设置 : 此 模块 中 默认 检测 方式 为 TcCP， 也 可 选用 SYN， 如 图 9-13 


所 示 。 


待 检测 请 口 - 


ha, 13, 19 21, 22, 23, 25, 53, 79, 80, 110, 111, 119, 135, 139, 143, 443, 445, 465, 51 


C6I 相 关 设 置 
字典 文件 设置 


图 9-13 端口 相关 设置 


(2) SNMP 相关 设置 如 图 9-14 所 示 。 
(3) NETBIOS 相关 设置 如 图 9-15 所 示 。 
(4) 漏洞 检测 脚本 设置 如 图 9-16 所 示 。 
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知 扫描 多数 


图 9-16 漏洞 检测 脚本 设置 


规 必 小 
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(5) CGI 相关 设置 如 图 9-17 所 示 。 


个 0 使 用 "GET 方法 

他 虐 用 TEAD 苦 换 "GET” 

个 2 用 ?0ST 著 换 "GET” 

个 3 用 “GET / ITP/I Or\nMeader-” 著 换 “GET 

个 4 用 "GET / findex hn ?per 著 换 “GET" 
个 5. 用 “GET wo0“ 著 换 “GET” 

厂 6. 多 个/ 或" 


厂 7 7 与 必 开 换 
厂 。 用 "GTab> 苦 换 " 空 格 )” 


9-17 CGI 相关 设置 


(6) 字典 文件 设置 如 图 9-18 所 示 。 


向 扫描 地 数 


Vdat\weak_ pass. dic 
Ndat\evs_nser. dic 
Vdat\wesk pass. die 
dat\Etp_aser die 
Ndat\waak pass die 
Ndatmsil aser die 
Ndat\weak pass. dic 
\dat\nntp_user. dic 
\dat\weak pass. dic 
datwmsil aser dic 
Ndat\weak pass. dic 
Ndatvtelnet_axer die 
Vdat\weak pass. dic 
Mdat\nt_user. dic 
Naatwwesk pass. dic 
aatwmsil arer dic 
aatwwesk puss dic 


图 9-18 ”字典 文件 设置 


设置 完成 后 ， 单 击 “ 确 定 ” 按 钮 。 
5. 开始 扫描 
选择 “文件 ”一 “开始 扫描 ”命令 ， 扫 描 过 程 如 图 9-19 所 示 。 


正在 加 载 漏洞 检测 脚本 ... 


37% 


(a) 
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文件 妈 设置 如 到 看 外 工具 中 Langnsge 和 天助 区 ) 
|@ Pi| 国 | 国富 | 加 
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出 主 192 lme m6 1 1 贡生 加 3 a 
辐 鲁 192 188 68 109 1 1 le A 3 a 
过 1 1 B29 A 3 a 
1 二- 国 时 六 了 
和 [ET A 也 1 
昔 通 信息 | 需 同 计 息 | 活 误 信息 
[ig2. 168. 9€. 恰 测 - 开 训 服务 ” 加 
hc 158. 96 轩 


ee 
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se ai 
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人 
要 
ee 
全 ?5] “区 -Sorgwr 量 口令 成 
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: 
人 
和 
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(b) 


9-19 ”开始 扫描 
6. 查看 扫描 报告 


选择 “查看 ”一 “检测 报告 ”命令 ， 结 果 如 图 9-20 所 示 。 


Internet Explore 


文中 中。 网 温 吕 查看 WD 收 记 工具 TE) 天助 o [3 


名 旧 - 症 国人 月 时 认 te 全 本 人 -当日 - 国 尺 


井 直 几 ] | 刁 C Mocwmants and SettinesWaninistrator\ 丰 而 \ 新 奸 廊 件 天 IX-Seax-v3 3-cn\log\152 166 86 1-255 zeyort htal 


本 报表 下 出 了 被 检 主 机 的 详细 漏 届 信息 ,请 相 据 提示 信息 或 锋 按 内 容 汶 行 : 和 8 训话 守 , 交 迎 参加 -Scan 币 二 戎 训 项目 


2007-5-10 2113513- 2007-5-10 2123:44 


存活 主机 四 
启用 6 
交流 量 加 
提示 光量 四 
主机 检测 结果 | 
192.168.36.123 [ESE 
E05 Wheows wp PORT/TCP, TD 135 
192 69.36.75 EE] 
0 Wnapwe wp PORT/TCP 10, 135, 139, 4 1025, S00 
19z 168.86.111 | 发 现 安全 警告 
主机 捕 要 -Ost Unkrown Os; PORT/TCP: 110 139, 3389 
192.168.35 9 主要 未 
主机 捕 要 -Os: Unkrown O5i PCRT/TCP; 110, 139, +5 
192.,168.36. 9 | 党 现 宁 全 提示 
主机 摘要 -05; Unkrown O5; PCRTITCP: L109, 133, 35 
192 168 36 159 
主机 捅 要 -OS: Unkrown 05; PORT/TCP: 110, 135, 139, 445 
9216836 2 
BE EEC 
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二 、X-Scan 操作 实例 


1. 扫描 远程 


E 机 是 否 存 在 NT 弱 口 令 〈 获 取 管 理 员 权限 ) 


(1) 打开 X-Scan， 在 “设置 ”下 拉 菜 单 中 选择 “扫描 参数 ”命令 ,打开 扫描 参数 设 
置 窗口 。 在 指定 卫 范围 的 输入 框 输入 希望 扫描 的 了 P 地 址 段 。 本 例 中 将 对 局 域 网 进行 扫 
描 ， 输 入 的 下 段 为 192.168.86.1 至 192.168.86.254， 如 图 9-21 所 示 。 


(2) 单 击 “ 全 


图 9-21 检测 范围 设置 
局 设置 ”项 ， 在 扫描 模块 中 选择 NTServer 弱 口 令 ， 如 图 9-22 所 示 。 


区 ] 


| 插件 : 

通过 ! 口 对 WIN NT72000| 
i 
i . 


图 9-22 ”扫描 模块 设置 


(3) 单 击 “确定 ”按钮 后 , 回 到 主 界面 , 单 击 开始 图 标 进行 扫描 。 扫描 结果 如 图 9-23 


所 示 。 


IP 地 址 为 192.168.86.84 的 主机 存在 NTServer 弱 口 令 。 
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X-Scan v3.3 GUI 
文件 四 设置 加 查看 ) 工具 QD) Lengage 帮助 台 ) 


加 

写生 -Servar 弱 口令 
Adninistrater/ [ 空 口令 ] 
tel/123 


在 分 段 检测 存活 主机 
192 168. 86. 84] ， 主 机 存活 ,响应 TCWP/TCP 请 求 
检测 到 1! 个 存活 主机 ( 用 时 16， 

检测 “192. 168. 88. 84” 


测 "了 -Server 弱 口令 “ 
a 


部 完成 ， 扫 撕 时 间 : 2007-5-11 下 午 10:20:49 至 2007-5-11 下 午 


tive thresd; 0 
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(4) 生成 扫描 报告 ， 如 图 9-24 所 示 。 179 


EB X-Scan Report - 了 icrosoft Internet Exzplorer 


; 文件 人 ) 编辑 于 ) 查看 WW) 收藏 和 工具 CY) 帮助 0 

i:@-©-: 国 国人 次 量 全 - 

;地址 0) | 名] BeiwseftA 扫 描 工 具 \X-Seanrv3. 3-cntlogh192_168_56_84_report- htnl | 国 轩 到 ;注入 
主机 地 址 端口 /服务 服务 漏洞 


192,168.86.84 |netbios-ssn (139jtcp) ”| 发 现 安全 漏洞 


类 型 端口 /服务 安全 漏洞 及 解决 方案 


漏洞 netbios-ssn NT-Server 弱 口令 
(139jtcp) 


| NT-5erver 弱 口令 ; "Administrator/[ 空 口令 了 
| 漏洞 ”netbios-ssn “NT-Server 细 口 令 

(139jtcp) 
| [raeveaDernahay 


未 知 驱 动 探索 ,专注 成 就 专业 
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2. 在 DameWare 中 添加 远程 主机 
(1) 单 击 “开始 ”一 “程序 ”一 DameWare NT Utilities 一 Dame Ware NT Utilities 命令 ， 
打开 DameWare 主 界面 ， 如 图 9-25 所 示 。 
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所 Daaegare NT 工具 
文件 四 活动 目录 他) ” 域 忠 主机 虽 ”工具 中 系统 工具 GD) 查看 WD 窗口 帮助 0 


OB SS 091 


2 WF 2000-10-0% 19:49:12 


9-25 DameWare 主 界面 


(2) 然后 单 击 主 界面 左上 角 的 | 区 图标 ， 接 着 在 如 图 9-26 所 示 的 界面 添加 主机 。 
(3) 添加 主机 他 地址 ， 如 图 9-27 所 示 。 


[am 


图 9-26 添加 域 或 主机 图 9-27 添加 主机 和 了 P 地 址 


(4) 主机 地 址 添加 成 功 后 如 图 9-28 所 示 。 

通过 DameWare 能 够 对 192.168.86.84 做 如 下 操作 : 磁盘 操作 ， 事 件 日 志 ， 组 管理 ， 
查看 已 打开 文件 ， 打 印 机 ， 进 程 管 理 ， 系 统 属性 ，RAS， 注 册 表 ， 远 程 命令 执行 ， 远 程 
控制 ， 应 用 程序 控制 ， 计 划 任 务 管理 ， 查 找 ， 发 送信 息 ， 服 务 管理 ， 会 话 管理 ， 共 享 
管理 ， 远 程 关 机 ， 软 件 管理 ， 系 统 工具 ，TCP 工具 ， 用 户 管理 ， 远 程 唤 醒 ， 如 图 9-29 
所 示 。 
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endership 


六 号 数字 记 所 2006-10-06 19:51:04 | 


图 9-28 ”主机 地 址 添加 成 功 181 


| Dancyare RT 工具 
# 立 介 名 ) 活 动 上 杂 W) 城 呈 ) 主机 旭 工具 G) 系 绵 了 具 WD 查看 GD) 窗口 人 天助 0 


F EE :Yt lo Ai | | 
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Gd 
eE 会话 
PE 
蝶 软件 
局 时间: 
事件 | 
搜索 


让 


中 国 爷 名 v! 
强 贡 南开 
5 


和 


图 9-29 主机 操作 
还 可 以 打开 Windows 自 带 的 管理 工具 ， 如 图 9-30 所 示 。 
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182 9-30 打开 Windows 自 带 的 管理 工具 


3. 实时 屏幕 监视 和 控制 


在 DameWare 主 界面 中 ， 单 击 远程 控制 图 标 厂 进行 远程 控制 ， 在 打开 菜单 中 双 
击 - 各 ?迷你 远程 控制 按钮 ， 然 后 在 弹出 界面 的 “用 户 名 ” 栏 中 填 入 获得 的 用 户 名 
“administrator”, “密码 ” 栏 不 填 ， 其 他 设置 默认 ， 填 好 后 如 图 9-31 所 示 。 


“主机 名 /IT 地 址 


3 |192. 168. 86.64| 


田 国 Active Directory Computers 


田 二 DNTV 常用 主机 


| 人 icrosoft Windors Hetwork 
| 田 画 SM Conputers 


国 192. 168.86.84 咯 时 ) 


图 9-31 远程 连接 设置 
此 时 单 击 “ 连 接 ” 按 钮 进行 连接 ， 如 果 是 首次 连接 远程 主机 ， 那 么 会 要 求 为 远程 主 
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机 安装 Dameware 被 控 端 ， 如 图 9-32 所 示 。 


了 nter the machine name or IF 


Dset Service Startup type to ‘Nanual” default is 


Dcopy Configuration File DWECS. 


9-32 ”安装 Dameware 被 控 端 


单 击 OK 按钮 ， 进 行 安装 。 服 务 安装 、 启 动 完毕 后 ， 便 会 在 本 地 机 上 得 到 远程 主机 
当前 的 屏幕 ， 如 图 9-33 所 示 。 


ET EF EE 
es mected to CLISHSLACNER Input Active MD: Ye 


图 9-33 ”远程 主机 的 当前 屏幕 


还 可 以 通过 该 屏幕 对 远程 主机 进行 控制 ， 还 可 以 在 远程 主机 上 进行 键盘 控制 操作 ， 
甚至 锁定 远程 主机 上 的 键盘 和 鼠标 。 

4. 远程 执行 命令 

通过 自 带 的 工具 RCmd View 及 RCmd Console 来 实现 这 一 功能 。DameWare 主 界面 
中 , 单 击 列表 中 “远程 命令 行 ” 前 面 的 由 找到 名 查看 RCmd 和 - 国 RCmd 控制 台 来 远程 执 
行 命令 。 通 过 这 个 工具 ， 可 以 在 远程 主机 上 执行 命令 ， 如 图 9-34 所 示 。 
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Es 
于 文件 四 其 动 目录 四 ” 域 如 ”主机 旭 ”工具 由 系 频 了 具 Q) 运往 褒 行 下 查看 ) 窗口 们 
口 | 2 DD 
EE ] se 
?二 -二 ei i tt | 
状态 ; | 运程 市 今 已 什 音 . 


蛋 图 stmmasotesstz 
EP 
可 条 TFIT 且 
节 而 吧 括 声 


| 


TE 2006-0-08 19.56.57 


5. 修改 系统 参数 并 远程 控制 系统 
(1) 进程 控制 
选择 -十 进程 图 标 ， 打 开 后 界面 如 图 9-35 所 示 。 


DaneWaro NT 工具 - 进程 [44EB858496D34BE] 
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i Ww 
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se ee 
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图 9-35 ”进程 控制 


右 侧 窗 口 显示 的 就 是 192.168.86.44 的 进程 及 CPU 利用 率 。 


(2) 修改 注册 表 
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单 击 -图 注册 表 项 打开 192.168.86.44 上 的 注册 表 。 在 该 注册 表 编 辑 器 中 便 可 以 修改 


远程 主机 的 注册 表 ， 如 图 9-36 所 示 。 
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9-36 修改 注册 表 


(3) 建立 计划 任务 
单 击 励 时 间 表 项 后 得 到 如 图 9-37 所 示 的 树 状 菜单。 
“ 属 代 表 计 划 任务 ， 双 击 后 如 图 9-38 所 示 。 
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局 什 苗 时 间 志 
图 9-37 展开 时 间 表 


图 9-38 工作 计划 表 
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在 主 界面 的 “时 间 ” 下 拉 菜 单 中 选择 “添加 时 间 表 ”命令 即 可 实现 建立 计划 任务 ， 
时 间 表 属性 设置 如 图 9-39 所 示 。 

(4) 服务 管理 

展开 扎 . 吉 络 务 得 到 如 图 9-40 所 示 的 树 状 菜单 。 


时 间 表 属性 


图 9-39 时 间 表 属性 图 9-40 展开 服务 
通过 全 查看 服务 可 以 查看 192.168.86.44 上 安装 了 哪些 服务 ， 如 图 9-41 所 示 。 
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9-41 查看 服务 


(5) 远程 关机 
单 击 “ 图 关机 按钮 可 以 实现 远程 关机 ， 如 图 9-42 所 示 。 
ee hd 
过 蚁 洪 享 来 打开 远程 主机 上 的 共享 文件 夹 。 可 以 对 文件 进行 复制 、 剪 切 、 删除 、 
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隐藏 、 权 限 设置 、 粘 贴 等 操作 ， 如 图 9-43 所 示 。 
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9-42 ”远程 关机 
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9-43 文件 操作 


(7) 建立 后 门 账号 
单 击 - 葬 用 户 ， 打 开 用 户 管理 ， 可 以 建立 、 禁 用 、 降 级 、 删 除 用 户 ， 如 图 9-44 所 示 。 
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DaneWsre NT 工具 - 用 户 [44EB858495D348E] 
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图 9-44 用 户 管理 


(8) 清除 脚印 

在 离开 192.168.86.44 之 前 ， 需 要 清除 脚印 来 防止 管理 员 发 现 他 们 留 下 的 痕迹 ， 这 可 
以 通过 删除 日 志 来 实现 。 单 击 馈 硬件 日 志 ， 清 除 右 侧 窗 口中 的 Application 、Security 
和 System 日 志 。 选 择 清 除 所 有 事件 来 清空 Application 日 志 。 按 同样 的 方法 删除 Security 
和 System 日 志 ， 如 图 9-45 所 示 。 
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9-45 ”删除 日 志 


第 10 章 ”病毒 防范 与 过 滤 技 术 


。 内容 过 滤 在 计算 机 安全 中 的 位 置 和 重要 性 

。 病毒 的 原理 及 防范 

。 垃圾 邮件 防范 的 有 关 技 术 

内 容 过 滤 是 保护 用 户 安全 和 数据 安全 最 有 效 的 手段 。 内 容 过 滤 是 在 通信 内 容 进 入 用 
络 或 用 户 PC 之 前 除去 不 必要 的 、 有 异议 的 和 有 害 内 容 的 过 程 。 内 容 过 滤 可 以 设置 
络 的 多 个 位 置 上 ， 包 括 用 户 PC 上 、 组 织 内 部 服务 器 上 等 。 内 容 过 滤 可 以 由 ISP ( 互 
服务 提供 商 ) 或 第 三 方 网 站 实现 。 


户 
在 
联 


10.0 内 容 过 滤 技 术 


随 着 互联 网 技术 的 发 展 ， 尤 其 是 万 维 网 应 用 的 不 断 增加 ， 人 们 可 以 从 网 络 上 获得 任 
何 想 要 的 资源 ， 这 给 人 们 的 工作 、 生 活 、 学 习 带 来 了 巨大 的 便利 和 好 处 。 但 与 此 同时 ， 
网 络 资源 也 成 为 攻击 者 实施 攻击 的 主要 手段 , 他们 利用 网 络 技术 中 存在 的 漏洞 ,将 病毒 、 
木马 以 及 其 他 具有 恶意 企图 的 代码 或 程序 隐藏 在 网 页 或 下 载 的 资源 中 ， 以 此 达到 入 侵 用 
户 系统 ， 进 行 任意 破坏 的 目的 。 过 滤 就 是 根据 系统 事先 设 定 的 规则 (例如 下 地 址 ) 对 用 
户 从 网 络 上 获取 的 资源 或 网 页 内 容 进 行 检测 ， 防 止 恶 意 代 码 或 程序 到 达 用 户 电 脑 ， 达 到 
保护 用 户 系统 安全 的 目的 。 


@-- 10.1.1 ”过滤 的 种 类 -， 


好 习习 


1. 和 白 名 单 过 滤 


白 名 单 过 滤 是 根据 白 名 单列 表 进 行 的 。 这 个 白 名 单列 表 是 一 个 允许 访问 列表 ， 由 第 
三 方 审 查 和 编译 。 列 表 上 的 所 有 内 容 都 是 允许 访问 的 ， 可 以 是 一 个 允许 访问 的 网 页 的 
URL 列表 ， 一 个 合法 关键 词 列 表 ， 或 是 一 个 合法 通信 数据 包 的 包 签 名 列表 。 
白 名 单方 法 在 内 容 过 滤 上 起 到 了 很 好 的 效果 ， 但 也 存在 一 些 缺 点 ， 有 具体 如 下 。 

(1) 难以 建立 一 套 适 于 全 球 范围 的 标准 。 由 于 Intemet 是 一 个 涉及 多 种 文化 、 宗 教 
以 及 政治 的 综合 体 ， 建 立 一 套 被 全 球 接受 的 指导 方针 几乎 是 不 可 能 的 。 

(2) 规模 难以 控制 。 随 着 接收 条 目的 日 益 扩 大 ， 白 名 单 规模 越 来 越 大 ， 有 可 能 超出 
控制 。 

(3) 缺少 管理 名 单 的 中 心 权威 机 构 。 事 实 上 ， 这 是 使 用 白 名 单方 法 进行 内 容 过 滤 的 
最 大 的 一 个 困难 。 例 如 ， 尽 管 多 年 来 用 户 们 一 直 受 到 病毒 的 困扰 ， 可 是 并 没有 一 个 由 中 
心 权 威 机 构 发 布 的 包含 了 所 有 已 经 被 制造 出 来 的 病毒 签名 的 名 单 。 
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2. 黑 名 单 过 滤 
内 容 过 滤 的 另 一 种 方法 是 使 用 黑 名 单 过 滤 。 这 种 方法 与 白 名 单 过 滤 正 好 相反 。 黑 名 


单 过 滤 是 基于 有 害 内 容 的 名 单 进行 的 。 这 个 名 单 可 能 包含 网 站 的 URL、 关 键 词 以 及 通信 
数据 包 的 签名 等 内 容 。 由 于 黑 名 单 规 模 的 有 限 性 以 及 易 管 理性 ， 这 种 方法 比 白 名 单 过 滤 
更 常见 。 

黑 名 单 过 滤 存 在 的 问题 是 黑 名 单 不 能 及 时 更 新 ， 是 不 完整 的 。 事 实 上 ， 在 计算 机 病 
毒 领域 同样 存在 这 些 缺 点 。 还 不 存在 一 份 包含 全 部 已 知 病毒 签名 的 名 单 ， 反 病毒 公司 正 
在 不 断 地 升级 更 新 病毒 名 单 。 


3. 内 容 过 滤 实 现 原理 


黑白 名 单 过 滤 都 依赖 于 一 张 已 知 的 列表 。 这 张 列表 组 成 元 素 网 页 URL、 关 键 词 、 短 
语 、 数 据 包 签名 、 属 性 、 图 像 分 析 等 内 容 。 下 面 介绍 基于 这 些 要 素 的 内 容 过 滤 的 原理 。 

(1) URL 过 滤 

这 种 方法 是 根据 流入 或 流出 网 络 的 网 页 内 容 的 URL 进行 过 滤 的 ,这 是 内 容 过 滤 最 常 
见 的 一 种 方法 ， 尤 其 在 阻止 访问 某 些 特定 网 站 的 时 候 使 用 最 多 。URL 过 滤 只 是 根据 非法 
网 站 的 URL 地 址 进行 过 滤 ， 因 此 并 不 影响 网 站 所 在 主机 的 瑟 地 址 ， 因 此 网 页 所 在 主机 
依然 能 够 为 网 络 或 PC 提供 其 他 服务 。 

为 提高 准确 性 ，URL 过 滤 在 目标 的 模式 设置 上 要 注重 很 多 细节 。 另 外 ， 由 于 底层 细 
节 的 需要 ， 更 改 URL 文件 的 时 候 也 必须 同时 更 改过 滤器 中 的 相应 设置 。 

(2) 关键 词 过 滤 

关键 词 过 滤 需 要 鉴别 所 有 流入 流出 内 容 的 关键 词 ， 根 据 所 使 用 的 扫描 机 制 ， 语 法 上 
正确 的 词语 还 需要 进一步 和 白 名 单 或 黑 名 单 上 的 词语 比较 。 这 种 方法 包含 了 以 下 这 些 
缺点 。 

口 基于 文本 的 特性 使 这 种 方法 不 能 对 其 他 形式 的 数据 进行 检查 。 

口 基于 语法 的 特性 使 得 这 种 方法 忽略 上 下 文 的 语义 环境 ， 容 易 在 造成 误 报 。 

(3) 包 过 滤 

这 种 方法 根据 网 络 通信 数据 包 的 瑟 地 址 对 内 容 进 行 过 滤 。 也 就 是 说 如 果 某 一 台 机 器 
的 他 地 址 存在 于 阻塞 规则 中 ,那么 任何 来 自 或 去 往 这 台 机 器 的 通信 内 容 都 会 被 阻塞 。 由 
于 是 根据 一 台 计 算 机 的 地 址 而 不 是 根据 其 通信 内 容 进 行 阻塞 ， 意 味 着 这 台 计 算 机 提供 的 
其 他 正常 服务 也 被 同时 阻止 了 。 当 然 ， 包 过 滤 还 可 以 根据 数据 包 的 端口 号 、 序 列 号 等 其 
他 内 容 来 进行 。 

(4) 属性 过 滤 

在 内 容 过 滤 中 使 用 人 工 智 能 是 内 容 过 滤器 的 一 个 新 分 支 ， 此 种 方法 根据 当前 的 文本 
特性 进行 学 习 ， 以 达到 区 别 未 知 文本 的 目的 。 然 而 ， 由 于 过 程 的 复杂 性 以 及 耗 时 性 ， 这 
种 方法 目前 还 没有 被 广泛 使 用 。 在 预 处 理 过 程 中 , 需要 取 回 一 部 分 文件 并 对 其 进行 学 习 ， 
此 过 程 可 以 是 基于 文本 的 也 可 以 是 基于 内 容 的 。 

(5) 图 像 分 析 过 滤 技 术 

自从 带 有 多 媒体 内 容 的 万 维 网 首次 出 现 ， 其 他 不 同 于 文本 形式 的 Intemet 通信 开始 
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增加 ， 尤 其 是 音频 和 视频 的 内 容 日 益 增 加 。 为 兼容 这 些 形式 ， 并 能 够 对 这 些 内 容 进 行 过 
滤 ， 必 须 找到 新 的 方法 。 在 所 有 这 些 方 法 中 ， 有 一 种 是 根据 图 像 分 析 进 行 的 。 这 种 方法 
存在 着 许多 问题 , 包括 图 像 的 预 下 载 问题 、 带 宽 问 题 、 语 法 过 滤 导致 的 语义 难 区 分 性 等 。 


放置 内 容 过 滤 最 好 的 4 个 位 置 是 : 用户 PC 上 (最 重要 的 位 置 )， 互 联网 服务 提供 商 
ISP 的 网 关上 ， 组 织 服 务 器 上 ， 以 及 第 三 方 的 机 器 上 。 


1. 用 户 PC 上 的 过 滤 


用 户 PC 是 设置 内 容 过 滤 最 重要 的 位 置 。 使 用 安装 在 用 户 PC 上 的 软件 , 用户 能 够 设 
置 阻塞 规则 以 及 阻塞 列表 ， 阻 止 进入 的 通信 内 容 。 在 这 种 情况 下 ， 用 户 就 变 成 实施 内 容 
过 滤 的 关键 。 同 时 还 负责 更 新 阻塞 规则 和 阻塞 列表 ， 提 供 保 措 施 护 和 阻塞 列表 使 内 容 免 
于 被 非 授 权 修改 。 


2. ISP 计算 机 上 的 过 滤 


ISP 上 的 过 滤 和 用 户 PC 上 的 过 滤 不 同 , 是 由 ISP 设置 和 管理 过 滤 规 则 和 过 滤 列 表 的 。 
同时 ， 这 种 方法 增加 了 过 滤 规 则 和 过 滤 列 表 免 于 未 授权 更 改 的 安全 性 。 当 然 ， 这 种 方法 191 
也 减弱 了 用 户 需要 的 表达 。 

因为 这 种 方法 是 集中 过 滤 ， 有 着 很 多 其 他 方法 没有 的 优点 : 第 一 ，ISP 拥有 更 多 的 
可 用 资源 ， 能 提供 更 多 的 安全 ， 第 二 ，ISP 能 够 使 用 完整 的 机 器 一 一 代理 服务 器 来 执行 
过 滤 ， 使 得 过 滤 的 过 程 更 快 ， 最 后 ，ISP 拥有 比 个 人 用 户 更 加 详细 的 过 滤 列 表 和 数据 库 。 

安装 代理 服务 器 之 后 ,进入 或 离开 ISP 的 通信 必须 通过 代理 服务 器 才能 访问 Intemet。 
可 以 安装 代理 服务 器 来 阻塞 一 定 的 服务 。 


3. 组 织 内 部 服务 器 的 过 滤 


为 了 满足 组 织 的 需求 ， 可 以 在 组 织 内 部 特定 的 服务 器 上 实施 内 容 过 滤 。 就 像 在 ISP 
上 实施 过 滤 一 样 , 组织 的 系统 管理 员 能 够 选取 特定 服务 器 来 过 滤 进 入 或 离开 组 织 的 内 容 ， 
所 有 进入 或 离开 系统 的 通信 必须 通过 这 个 过 滤器 。 这 也 是 一 种 集中 过 滤 方 法 ， 过 滤 规 则 
和 过 滤 列 表 都 是 被 中 心 控制 的 ， 具 有 极 高 的 安全 性 。 


4. 第 三 方 过 滤 


对 于 不 能 进行 自主 过 滤 的 组 织 和 个 人 ， 第 三 方 内 容 过 滤 是 一 种 不 错 的 安全 选择 。 进 
入 和 离开 用 户 或 组 织 网 关 的 通信 内 容 被 导 流通 过 第 三 方 的 过 滤器 。 第 三 方 组 织 可 能 像 
ISP 一 样 使 用 代理 网 关 ， 或 者 像 组 织 服务 器 一 样 选 择 特定 的 服务 器 。 第 三 方 过 滤器 提供 
了 更 高 的 安全 度 以 及 更 多 样 的 过 滤 选 择 。 

5. 典型 案例 一 一 防 病毒 过 小 网 关 的 应 用 


近年 来 ， 企 业 用 户 特别 容易 遭受 到 病毒 的 侵袭 ， 病 毒 正 在 通过 更 多 的 传播 方式 进入 
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企业 内 部 。 有 数据 显示 ， 目 前 90% 的 病毒 是 通过 邮件 传输 进入 企业 内 部 的 ， 而 不 是 通过 
以 前 的 存储 介质 进行 传播 ， 此 外 浏览 网 页 、FTP 下 载 等 都 成 为 病毒 传播 的 手段 。 而 企业 
采用 的 防 病毒 解决 方案 主要 是 基于 单机 或 服务 器 的 方式 ， 是 一 种 被 动 的 解决 方案 。 每 当 
出 现 新 的 病毒 , 企业 安全 部 门 往往 会 发 现 他 们 分 身 乏 术 , 需要 确保 网 络 中 的 每 一 台电 脑 、 
笔记 本 、PC 和 服务 器 等 都 升级 到 了 最 新 的 病毒 库 。 传 统 的 病毒 处 理 方法 会 存在 一 些 问题 ， 
具体 如 下 。 

(1) 扫描 和 处 理 方式 主要 是 通过 客户 端 杀毒 ， 或 者 通过 企业 版 防毒 软件 对 已 经 进入 
企业 网 络 的 病毒 进行 处 理 ， 是 一 种 被 动 的 杀毒 模式 。 

(2) 越 来 越 多 新 的 蠕虫 病毒 传播 速度 很 快 ， 传 播 范 围 很 广 ， 充 分 利用 企业 网 络 的 开 
放 性 ， 在 企业 没有 防备 的 时 候 迅 速 进入 企业 内 部 并 很 快 在 网 络 中 传播 开 来 ， 造 成 企业 网 


络 阻塞 等 情况 。 
(3) 越 来 越 多 的 像 网 络 钓鱼 这 样 的 网 络 欺诈 行为 通过 网 络 应 用 协议 骚扰 和 破坏 企业 
的 正常 办 公 网 络 环境 。 


为 了 解决 上 述 日 益 严重 的 问题 ， 防 病毒 厂商 提出 在 企业 的 网 关 处 对 进出 企业 的 主要 
网 络 协议 的 数据 进行 病毒 过 滤 扫 描 ， 这 样 就 可 以 把 病毒 阻挡 在 企业 外 部 ， 大 大 减少 病毒 
进入 企业 内 部 造成 的 危害 。 因 此 防 病毒 网 关 产品 应 运 而 生 ， 同 时 防 病毒 网 关 产品 也 成 了 
企业 防 病毒 解决 方案 中 不 可 缺少 的 一 部 分 。 

随 着 网 络 应 用 的 发 展 ， 企 业 用 户 对 网 络 处 理性 能 的 要 求 越 来 越 高 ， 基 于 硬件 的 信息 
安全 专用 产品 可 以 很 好 地 满足 用 户 需求 。 对 于 硬件 防 病毒 过 滤 网 关 来 讲 ， 其 便捷 性 更 为 
突出 。 厂 商 在 产品 设计 上 采用 安全 精简 的 定制 操作 系统 ， 基 于 专用 硬件 平台 等 办 法 ， 保 
证 数据 在 网 络 中 的 能 够 快速 处 理 。 软 硬件 一 体 的 防 病 毒 过 滤 网 关 已 经 成 为 企业 整体 防 病 
毒 解决 方案 中 重要 的 组 成 部 分 ， 它 配合 桌面 防毒 软件 和 企业 版 的 防毒 软件 ， 在 企业 的 入 
口 处 最 先 拦截 企图 进入 网 络 的 病毒 ， 给 后 面 的 客户 端 防毒 减少 了 很 大 的 压力 。 全 球 安全 
业界 普遍 认为 防毒 墙 将 成 为 企业 级 防毒 市 场 的 主角 , 行业 前 景 非常 可 观 。ICSA 认为 , 硬 
件 防毒 墙 将 占据 整个 防 病毒 产业 的 一 半 市 场 份额 ， 成 为 防 病毒 行业 标准 。 

目前 ， 各 大 厂商 都 推出 了 自己 独特 的 软 硬 件 一 体 防 病毒 过 滤 网 关 。 这 些 产 品 一 般 都 
具备 如 下 优点 。 

(1) 采用 高 效 的 流 扫 描 算 法 

防 病毒 过 滤 网 关 采 用 特有 的 流 扫 描 技 术 来 获得 很 高 的 吞吐 率 ， 同 时 大 大 减少 网 络 延 
迟 和 超时 。 流 扫描 技术 在 收 到 文件 的 一 部 分 时 就 开始 扫描 ， 大 大 减少 总 的 处 理 时 间 。 

(2) 真正 的 即 插 即 用 设备 

防 病毒 过 滤 网 关 实现 了 真正 的 即 插 即 用 ， 不 需要 变动 当前 已 经 部 署 的 网 络 。 一 旦 部 
署 的 位 置 被 确定 ， 只 需要 连接 上 网 线 ， 开 启 电源 就 可 以 进行 病毒 扫描 。 

(3) 支持 双 通 道 的 病毒 扫描 和 过 滤 

在 过 滤 网 关内 部 建立 两 条 相互 隔离 的 病毒 扫描 通道 ， 在 组 网 时 ， 用 户 可 以 利用 同一 
台 过 滤 网 关 的 第 二 条 扫描 通道 单独 对 防火 墙 的 DMZ 区 的 服务 器 组 实现 病毒 防护 ， 更 加 
增强 了 安全 性 ， 同 时 节省 了 企业 的 成 本 。 

(4) 全 面 应 用 网 络 协 议 

能 处 理 所 有 主要 网 络 协 议 一 一 SMTP、POP3、HTTP、HTTPS、FTP 和 IMAP; 同时 
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还 增加 了 对 协议 非 标准 端口 的 病毒 扫描 。 

(5) 增加 了 HTTPS 协议 的 病毒 扫描 

能 对 https 的 流量 进行 扫描 ， 这 样 的 功能 大 大 增强 了 B2B、B2C、C2C 等 https 网 上 
交易 的 安全 性 。 

(6) 扫描 方式 透明 

大 多 数 传统 的 解决 方案 工作 在 OSI 的 应 用 层 ， 以 代理 的 方式 截获 数据 进行 扫描 ， 客 
户 机 首先 连接 到 防 病毒 网 关 ， 防 病毒 网 关 再 连接 到 真正 的 服务 器 ， 转 发 并 扫描 通过 的 数 
据 流 ， 这 种 方法 丢失 了 很 多 有 用 的 客户 端 及 服务 器 的 信息 。 防 病毒 过 滤 网 关 工作 在 3 一 7 
层 〈 图 10-1)， 它 能 够 完整 地 保留 这 些 信息 ， 使 企业 的 网 络 更 安全 。 
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10-1 防 病毒 过 滤 网 关 工 作 在 3 一 7 层 


下 面 就 是 一 个 典型 的 企业 防 病毒 过 滤 网 关 部 署 方案 (图 10-2): 将 过 滤 网 关 部 署 在 
防火 墙 和 中 心 交 换 机 之 间 。 企 业 的 网 关 处 是 防 病毒 过 滤 网 关 最 合理 和 最 有 效 的 部 署 位 置 ， 
网 络 病毒 就 是 从 那里 进入 公司 内 部 网 络 。 将 过 滤 网 关 部 署 在 网 关 处 ， 可 以 在 病毒 进入 网 
络 的 源头 对 它 进 行 扫描 和 查 杀 。 


e--10:13 一 内 容 过 滤 的 层次 - 

内 容 过 滤 可 以 在 发 生 在 两 个 层次 : 应 用 层 和 网 络 层 。 应 用 层 的 过 滤 是 根据 网 页 URL 
进行 的 ， 可 以 阻塞 特定 的 网 页 或 FTP 站 点 。 网 络 层 的 过 滤 是 包 过 滤 ， 要 求 路 由 器 检查 流 
入 或 流出 的 每 一 个 通信 数据 包 的 IP 地 址 (有些 时 候 还 包括 端口 号 等 其 他 信息 )， 将 其 和 
白 名 单 或 黑 名 单 上 的 数据 进行 对 比 。 


1. 应 用 层 过 滤 


应 用 层 过 滤 根 据 组 成 阻塞 标准 的 类 别 进行 ， 包括 URL、 关 键 词 等 。 应 用 层 过 滤 同样 
能 够 被 设置 在 很 多 的 地 点 ， 包 括 用 户 PC 上 ， 网 络 网 关上 ， 第 三 方 服务 器 上 ， 以 及 ISP 
机 器 上 。 在 每 一 个 地 点 ， 每 一 个 相当 高 效 的 过 滤 机 人 制 都 能 够 被 成 功 应 用 。 当 在 网 络 上 或 
在 ISP 上 进行 应 用 层 过 滤 的 时 候 ， 可 能 就 会 用 到 一 个 特定 的 代理 服务 器 。 代 理 服 务 器 根 
据 过 滤 规 则 阻止 进入 或 流出 服务 器 的 内 容 。 对 于 来 自 于 用 户 或 客户 端的 每 一 个 请 求 ， 代 
理 服 务 器 将 会 把 客户 的 请 求 以 及 包含 有 Web 站 点 FTP 站 点 和 新 闻 组 的 黑 名 单 进行 比较 。 
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如 果 用 户 请 求 访问 的 URL 就 在 黑 名 单 之 上 , 代理 服务 器 就 会 做 出 有 效 的 阻塞 手段 。 除了 
阻塞 流入 或 流出 网 络 或 用 户 计算 机 的 数据 流 ， 代 理 服 务 器 还 能 存储 经 常 访问 的 数据 。 然 
而 ， 利 用 代理 服务 器 进行 的 应 用 层 阻塞 的 效率 是 有 限 的 ， 主 要 因为 下 列 这 些 技 术 上 和 非 
技术 上 的 因素 。 


企业 内 部 网 络 


防火 墙 上 


路 由 器 
10-2 ， 防 病 毒 过 滤 网 关 部 署 方案 


(1) 技术 问题 

@ 在 用 户 请 求 中 使 用 翻译 服务 能 够 造成 来 自 于 有 害 服 务 器 和 站 点 的 请 求 内 容 进入 
网 络 : 当 用 户 请 求 来 自 于 特定 服务 器 或 站 点 内 容 的 时 候 ， 如 果 在 这 个 站 点 上 不 能 找到 请 
求 的 内 容 ， 翻 译 服务 就 会 向 二 次 网 站 发 起 请 求 。 在 这 种 情况 下 ， 返 回 的 内 容 就 有 可 能 不 
是 来 自 于 特定 的 服务 器 ， 除 非 二 级 请 求 已 经 被 阻塞 了 。 

@ 绕 过 域名 服务 器 : 由 于 可 以 根据 域名 ， 也 可 以 根据 服务 器 的 人 地 址 来 处 理 用 户 
请 求 访问 的 站 点 ,因此 , 一 份 只 包含 域名 但 并 没有 包含 相应 人 P 地 址 的 黑 名 单 就 可 够 被 绕 
过 去 。 

@ 代理 服务 器 的 可 靠 性 问题 : 仅 使 用 一 个 代理 服务 器 来 处 理 所 有 流 进 或 流出 的 通信 
流量 可 能 会 引起 瓶颈 问题 ， 包 括 速度 降低 ， 某 些 应 用 程序 的 失效 ， 甚 至 是 服务 器 的 月 省 。 

(2) 非 技术 问题 

Q@ ISP (Intemet 服务 提供 商 ) 问题 内 容 过 滤 过 程 中 涉及 的 ISP 可 能 会 面 对 很 多 的 
问题 : 包括 设置 、 维 护 以 及 管理 代理 服务 器 的 额外 负担 ， 支 持 和 维护 被 迫使 用 这 些 服 务 
器 的 用 户 ， 满 足 客户 需求 并 充当 道德 权威 的 角色 而 这 个 道德 权威 的 角色 很 难 满足 所 有 
用 户 的 要 求 )。 除 了 这 些 问 题 之 外 ，ISP 面 对 的 问题 还 包括 如 何 创建 、 更 新 以 及 托管 满足 


病毒 防范 与 过 滤 技 术 


所 有 客户 需求 的 黑 名 单 ， 并 且 如 何以 一 种 安全 的 方式 向 客户 分 配 黑 名 单 。 

@ 创建 和 维护 黑 名 单 的 成 本 : 创建 和 维护 一 个 黑 名 单 的 相关 成 本 是 非常 高 的 。 造 成 
成 本 如 此 高 的 原因 主要 是 黑 名 单 的 创建 、 维 护 和 升级 牵涉 到 本 地 政治 环境 的 极 大 变化 以 
及 对 名 单 复 杂 性 质 的 高 度 理解 。 除 此 之 外 ， 黑 名 单 是 黑客 和 入 侵 者 的 主要 攻击 目标 ， 因 
此 名 单 的 安全 也 需要 花费 很 大 的 成 本 。 


2. 网 络 层 过滤 和 阻塞 


每 一 个 网 络 包 都 有 源 IP 地 址 和 目的 下 地址， 使 得 TCP 协议 能 够 在 网 络 中 成 功 地 传 
输 数 据 包 ， 同 时 也 能 对 传输 错误 进行 记录 。 在 数据 包 水 平 的 过 滤 和 阻塞 中 ， 过 滤 实 体 有 
一 个 由 “禁止 ”和 “ 坏 ”IP 地 址 组 成 的 黑 名 单 。 这 个 阻塞 和 过 滤 过 程 是 通过 将 所 有 进入 
或 流出 的 数据 包 的 人 P 地 址 和 特定 的 黑 名 单 上 的 IP 地 址 进行 比较 完成 的 。 然 而 ， 由 于 技 
术 上 和 非 技术 上 存在 的 问题 ， 包 层次 的 过 滤 是 有 局 限 性 的 。 

(1) 技术 问题 

@ 包 层 次 的 过 滤 是 不 分 差异 的 ， 基于 服务 器 瑟 地址 的 阻塞 就 意味 着 来 自 于 内 网 的 
任何 一 台 主 机 都 不 能 到 达 服 务 器 。 也 就 是 说 由 服务 器 提供 的 任何 服务 都 不 能 被 内 网 用 户 
或 受 保护 的 用 户 计 算 机 所 使 用 。 如 果 用 户 的 意图 是 阻塞 这 个 网 站 ， 这 种 方法 的 结果 使 得 
内 网 所 有 用 户 或 用 户 PC 不 能 到 达 整 个 服务 器 。 一 种 缓和 的 方法 是 通过 使 用 端口 号 来 保 
护 网 络 和 用 户 PC， 这 就 可 以 选择 性 地 阻塞 服务 器 上 的 服务 ， 然 而 ， 这 个 过 程 可 能 会 影响 
到 代理 服务 器 的 性 能 。 

@ 路 由 器 容易 被 绕 行 : 隧道 技术 就 是 将 一 个 他 数据 包 隐 藏 在 另 一 个 卫 数据 包 中 ， 
通常 用 于 分 布 式 虚拟 专用 网 应 用 以 及 IPv4 到 IPv6 的 扩展 中 ， 可 以 很 容易 地 把 受 限制 的 
JP 地 址 封装 在 一 个 新 的 人 P 地 址 数据 包 中 ， 然 后 再 使 用 新 的 IP 地 址 将 封装 之 后 的 数据 包 
在 网 路 中 传输 。 当 到 达 目 的 地 之 后 ， 接 收 者 将 数据 包 进 行 提 取得 到 原始 信息 。 

@ 黑 名 单 上 的 中 地 址 不 容易 维护 : 只 要 通过 查看 和 比较 服务 器 被 访问 的 次 数 就 能 
很 容易 地 确定 一 台 服 务 器 是 否 已 经 被 列 入 到 黑 名 单 。 一 旦 确定 服务 器 被 列 入 到 黑 名 单 ， 
服务 器 的 所 有 者 能 够 很 容易 地 改变 服务 器 的 下 地址 。 基 于 这 个 因素 ,以 及 新 服务 器 上 线 
和 老 服务 器 退役 造成 的 他 地 址 的 变化 ， 急 需 对 黑 名 单列 表 进 行 更 新 。 然 而 ， 这 样 做 的 成 
本 是 非常 高 的 。 

@ 不 规则 端口 号 的 使 用 :尽管 不 是 很 常见 ， 但 有 些 应 用 程序 使 用 不 规则 的 端口 号 。 
使 用 这 种 不 规则 的 端口 号 会 欺骗 服务 过 滤器 , 本 应 该 被 阻塞 的 端口 号 可 能 会 通过 过 滤器 。 

(2) 非 技 术 问题 

增加 的 操作 成 本 和 ISP 的 管理 问题 : 创建 、 维 护 以 及 分 配 黑 名 单 的 成 本 增 量 是 相当 
高 的 。 另 外 ，ISP 为 了 维护 一 个 可 被 接受 的 黑 名单 ， 必 须 非常 小 心地 驾驭 众多 用 户 文化 、 
宗教 以 及 政治 之 间 的 冲突 。 


--10.1.4 过滤 内 容 --， 

针对 不 同 的 用 户 ， 团 体 和 组 织 ， 这 份 过 滤 项 目的 列表 是 不 同 的 。 因 为 宗教 ， 文 化 和 
政治 信仰 的 冲突 ， 几 乎 不 可 能 提出 一 个 共同 的 道德 准则 ， 并 以 此 来 建立 黑 名 单 。 这 就 使 
得 社会 团体 走 到 一 起 ， 建 立 了 一 个 可 被 大 众 接 受 的 共同 反对 的 内 容 列 表 。 下 面 给 出 的 这 
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个 列表 是 从 众多 资源 中 收集 到 的 条 目 。 

(1) 裸体 : 不 同 的 文化 对 裸体 的 定义 不 同 。 然 而 ， 在 很 多 文化 当中 ， 这 意味 着 完全 
不 穿 衣服 或 者 是 暴露 特定 的 身体 部 位 。 

(2) 成 人 内 容 : 成 人 内 容 的 定义 也 是 不 同 的 ， 缺 少 统一 的 定义 。 然 而 ， 在 许多 文化 
中 指 被 公开 分 级 定义 为 引起 未 成 年 人 蝴 落 的 内 容 , 可 以 是 粗鲁 下 流 的 言语 、 姿 势 或 行为 。 

(3) 性 : 根据 不 同 的 文化 、 宗 教 和 政治 ， 性 行为 的 定义 也 是 不 同 的 。 

(4) 赌博 : 根据 标准 的 不 同 ， 有 很 多 种 形式 的 赌博 。 这 些 形式 包括 实物 赌博 、 在 线 


赌博 和 游戏 赌博 。 
(5) 暴力 : 引起 或 造成 人 类 身体 或 心理 上 疼痛 的 所 有 身体 展示 的 行为 ， 包 括 谋杀 、 
强奸 和 折磨 虐待 。 


(6) 毒品 文化 : 不 论 是 否 是 描述 性 的 ， 提 倡 非法 使 用 或 鼓励 非法 使 用 任何 消遣 性 毒 
品 的 图 形 图 片 ， 包 括 香烟 和 酒 的 广告 。 

(7) 歧视 :提倡 对 其 他 民族 、 宗 教 、 性 别 、 残 疾 以 及 国籍 的 偏见 。 

(8) 那 恶 或 祭祀 ， 那 恶 的 内 容 包含 恐怖 的 信息 ， 可 能 会 导致 那 恶 的 崇拜 。 

C9) 犯罪 ， 对 于 实施 犯罪 的 鼓励 、 工 具 使 用 的 介绍 以 及 提供 建议 等 ， 包 括 炸 弹 的 制 
作 和 劫持 。 

(10) 低俗 : 低俗 哟 默 ， 极 端 形 式 的 身体 修改 ， 如 身体 切割 、 烙 印 、 刺 穿 等 。 

(11) 恐怖 主义 /好 战 分 子 /极端 分 子 : 好 战 ， 鼓 吹 侵略 行为 、 极 端 行为 及 其 他 行为 。 


10.2 病毒 过 小 


在 所 有 的 攻击 方式 中 ， 病 毒 是 最 为 流行 ， 危 害 最 为 严重 的 一 种 方式 。 本 节 将 重点 介 
绍 有 关 病 毒 的 种 类 、 感 染 方式 、 传 播 途 径 等 内 容 。 


9 - ho -、 
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计算 机 病毒 是 一 种 能 够 进行 自动 传播 并 以 更 改 或 破坏 计算 机 资源 为 目的 的 计算 机 程 
序 。 计 算 机 病毒 和 自然 界 的 病毒 一 样 ， 把 自己 依附 在 可 执行 代码 上 生长 、 繁 殖 、 传 播 。 
当 计 算 机 执行 代理 程序 时 ， 病 毒 也 被 同时 启动 ， 并 且 在 新 的 环境 中 进行 传播 ， 进 而 攻击 
重要 的 系统 资源 ， 包 括 代理 软件 本 身 ， 计 算 机 中 存储 的 数据 ， 或 是 计算 机 硬件 ， 最 终 使 
系统 骨 溃 。 

病毒 一 词 真正 用 来 指 代 计 算 机 程序 是 由 Fred Cohen 开始 的 ， 那 时 他 还 是 南 加 利 福 尼 
亚 大 学 的 研究 生 。Fred Cohen 写 了 5 个 真正 的 病毒 程序 ， 运 行 于 UNIX 系统 上 ， 当 然 这 
些 程序 并 不 是 为 了 更 改 或 破坏 任何 的 计算 机 资源 , 而 是 为 了 进行 教学 演示 。 演示 过 程 中 ， 
在 一 个 小 时 的 时 间 内 ， 所 有 病毒 就 获得 了 系统 的 全 部 控制 权 。 此 后 ， 计 算 机 病毒 技术 迅 
猛 发 展 。 目 前 为 止 ， 计 算 机 病毒 是 流行 最 广 ， 和 危害 性 最 大 ， 增 长 速度 最 快 的 一 种 计算 机 
系统 攻击 形式 。 据 统计 ， 平 均 每 个 月 就 有 400 到 500 种 新 病毒 产生 。 计 算 机 病毒 流行 的 
主要 原因 包含 以 下 因素 。 

(1) 易 产 生性 。 由 于 计算 机 代码 编写 技术 的 易学 性 以 及 互联 网 上 普遍 存在 的 病毒 代 
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码 ， 使 得 计算 机 病毒 成 为 所 有 计算 机 攻击 中 最 容易 实施 的 一 种 。 

(2) 影响 范围 广 。 由 于 全 球 计 算 机 的 高 互联 性 ， 计 算 机 病毒 的 传播 速度 越 来 越 快 。 
“红色 代码 ”病毒 的 传播 速度 就 证 明了 这 一 点 。 在 发 行 之 后 的 短 短 几 天 之 内 ， 红 色 代 码 就 
已 经 传 遂 了 全 球 网 络 。 

(3) 病毒 的 自动 传播 性 质 。 比 起 早期 版 本 的 病毒 ， 新 型 计算 机 病毒 更 加 危险 。 新 型 
计算 机 病毒 的 自动 传播 能 力 其 传播 速度 更 快 ， 制 造 破坏 的 数量 更 多 。 红 色 代码 病毒 能 够 
快速 传播 的 一 个 重要 原因 就 是 它 的 自动 传播 能 力 。 

(4) 病毒 变异 。 变 异 使 得 病毒 更 不 容易 被 清除 ， 并 且 消 耗 了 巨大 的 计算 机 资源 。 

(5) 逮捕 病毒 开发 者 的 困难 性 。 正 如 红色 代码 病毒 案例 所 证 明 的 ， 由 于 法 律 和 其 他 
的 一 些 限制 ， 逮 捕 病 毒 开发 者 将 变 得 越 来 越 难 ， 这 也 造成 病毒 日 益 泛 滥 。 


--10:2.2 病毒 感染 方式 -， 


计算 机 病毒 感染 计算 机 系统 并 进行 传播 的 方式 有 3 种 : 引导 扇 区 、 宏 渗透 、 寄 生 虫 。 
1. 引导 扇 区 渗透 


尽管 不 很 常见 ， 但 引导 扇 区 依然 是 培养 病毒 的 一 种 方式 。 引 导 扇 区 通常 是 每 一 块 硬 
盘 的 第 一 个 部 分 。 在 启动 盘 ， 这 个 部 分 包括 了 启动 计算 机 的 一 系列 代码 。 在 非 启动 盘 ， 
这 个 部 分 包含 了 文件 分 配 列表 (FAT)， 计 算 机 启动 时 ， 这 个 列表 会 首先 自动 被 下 载 到 计 
算 机 的 内 存 中 ， 并 以 此 创建 一 个 磁盘 内 容 和 种 类 的 路 标 ， 用 于 计算 机 访问 磁盘 。 隐 藏 在 
这 个 部 分 的 计算 机 病毒 就 会 被 下 载 到 计算 机 内 存 中 。 

2. 宏 渗透 


宏 是 很 小 的 语言 程序 ， 嵌 入 到 代理 程序 后 就 能 被 执行 ， 渗 透 效率 相当 高 。 而 且 ， 安 
病毒 在 网 络 中 的 繁殖 传播 速度 非常 快 。 造 成 宏 病 毒 快速 传播 的 能 力主 要 有 以 下 几 个 方面 。 

(1) 宏 应 用 的 不 断 增 加 。 随 着 软件 技术 的 不 断 发 展 ， 宏 的 应 用 不 断 增 加 ， 通 过 增加 
宏 功 能 ， 用 户 就 可 以 扩展 产品 功能 。 当 同时 宏 也 成 为 病毒 入 侵 和 传播 的 重要 工具 。 

(2) 微 程序 语言 的 广泛 应 用 。 在 编写 应 用 程序 过 程 中 , 微 程序 语言 变 得 越 来 越 强大 ， 
拥有 越 来 越 多 的 功能 , 例如 , VBA 就 是 这 样 一 种 语言 , 流行 的 PowerPoint、Excel 和 Word 
中 都 可 以 找到 由 这 种 语言 编写 的 宏 。 但 同时 这 也 很 容易 造成 病毒 的 传播 。 

宏 的 问题 是 在 Intemet 应 用 程序 中 制造 了 漏洞 。 例 如 ，VBA 能 够 被 黑客 利用 在 应 用 
程序 中 定义 病毒 代码 。 其 他 程序 或 脚本 语言 构造 的 宏 同 样 能 够 很 容易 地 被 黑客 使 用 。 

3. 寄生 虫 

这 种 病毒 既 不 需要 隐藏 在 引导 扇 区 ， 也 不 需要 一 个 类 似 于 宏 的 培养 箱 。 这 种 病毒 将 
自己 依附 在 一 段 健康 的 可 执行 程序 上 ， 当 这 个 程序 被 执行 的 时 候 ， 病 毒 也 同时 被 执行 。 
现在 ， 随 着 互联 网 的 快速 发 展 ， 这 种 渗透 方法 的 应 用 最 为 广泛 ， 效 率 也 是 最 高 的 。 这 种 
类 型 的 病毒 包括 黑色 星期 五 、 米 开朗 琪 罗 以 及 冲击 波 病毒 等 。 
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一 旦 发 起 病毒 攻击 ， 攻 击 代 理 就 会 对 目标 系统 进行 扫描 以 寻找 代理 主机 。 如 果 找 到 
合适 的 代理 主机 ， 攻 击 代 理会 对 其 进行 检测 查看 是 否 已 经 被 感染 。 如 果 代 理 主机 没有 
被 感染 ， 病 毒 就 会 将 自己 注入 到 其 中 ， 生 长 、 繁 殖 ， 等 待 引起 执行 的 触发 事件 发 生 。 病 
毒 的 任务 主要 有 以 下 3 个 。 

(1) 寻找 新 的 环境 用 以 更 快 地 生长 ， 传 播 。 

(2) 将 自己 注入 到 新 发 现 的 机 体 当 中 。 

(3) 植 入 之 后 ， 一 种 情况 是 始终 保持 活跃 使 得 病毒 在 任何 触发 事件 发 生 的 时 候 都 能 
被 执行 ， 另 一 种 情况 是 保持 暂时 的 静止 直到 特殊 的 事件 发 生 。 


@ ”10.2.3 “病毒 感染 源 -- 


\ 
nn - 


计算 机 病毒 有 许多 感染 源 。 已 知 的 病毒 中 ， 主 要 有 4 种 感染 源 : 移动 的 计算 机 磁盘 
(例如 磁盘 、 软 盘 、 磁 带 等 )， 互 联网 上 下 载 下 来 的 软件 (例如 测试 软件 、 共 享 软件 、 免 
费 软件 等 )， 电 子 邮 件 和 电子 邮件 附件 ， 跨 平台 的 可 执行 程序 和 脚本 。 
(1) 可 移动 的 计算 机 磁盘 : 从 可 移动 计算 机 磁盘 感染 的 病毒 可 能 是 引导 区 病毒 ， 也 
可 能 是 磁盘 病毒 。 
口 引导 区 病毒 这 种 病毒 攻击 硬盘 或 软盘 的 引导 区 。 磁 盘 扇 区 是 磁盘 上 用 于 存储 
数据 的 一 小 块 区 域 。 对 于 DOS 格式 化 的 磁盘 ， 扇 区 通常 是 512 比特 长 度 。 尽 管 
对 于 正常 程序 磁盘 扇 区 是 不 可 见 的 ， 但 是 由 于 其 构成 了 计算 机 使 用 的 数据 块 ， 
因此 对 于 计算 机 系统 的 正确 操作 是 非常 重要 的 。 引 导 区 是 操作 系统 运行 时 所 识 
别 的 第 一 个 磁盘 遍 区 。 之 所 以 称 为 引导 区 是 因为 它 包含 了 每 次 计算 机 加 电 启 动 
时 所 必须 执行 的 程序 。 因 为 其 在 计算 机 系统 操作 的 中 心 作用 ， 对 于 病毒 攻击 ， 
引导 区 是 非常 脆弱 的 ， 经 常 被 病毒 利用 作为 攻击 计算 机 系统 其 他 部 分 的 跳板 。 
使 用 这 种 方式 ， 病 毒 在 计算 机 之 间 的 传播 速度 是 非常 快 的 。 引 导 区 病毒 同样 能 
够 感染 硬盘 驱动 器 中 的 其 他 磁盘 。 

口 ”磁盘 病毒 当 病 毒 不 使 用 引导 扇 区 的 时 候 ， 就 将 自己 以 宏 的 形式 隐藏 在 硬盘 数 
据 或 软盘 中 。 宏 是 嵌入 在 其 他 程序 中 的 小 程序 ， 并 且 会 在 代理 程序 执行 的 时 候 
执行 。 宏 病毒 通常 感染 数据 和 文档 文件 、 模 板 、 电 子 表格 以 及 数据 库 文件 。 

(2) 互联 网 下 载 的 软件 : 在 发 展 初期 ， 计 算 机 病毒 实际 上 是 手工 携带 的 。 人 们 使 用 
软盘 携带 计算 机 病毒 并 进行 传播 ， 使 其 从 一 台 计 算 机 感染 到 另 一 台 计 算 机 。 互 联网 的 发 
展 创 造 了 病毒 传播 的 一 个 新 途径 。 事 实 上 ， 现 在 互联 网 已 经 成 为 计算 机 病毒 传播 最 快速 
最 主要 的 途径 。 互 联网 下 载 、 公 告 板 、 共 享 软件 是 携带 病毒 的 真正 载体 。 

(3) 电子 邮件 附件 : 目前 ， 电 子 邮 件 附 件 是 发 展 最 快 的 一 种 病毒 传播 办 法 。 现 在 
Intemet 一 大 半 的 通信 是 由 电子 邮件 构成 的 , 每 天 都 有 数 以 百 万 计 的 电子 邮件 在 计算 机 中 
被 交换 ， 电 子 邮件 通信 是 使 得 计算 机 感染 病毒 最 有 效 的 途径 。 没 有 附件 的 纯 文 本 电子 邮 
件 是 不 会 有 病毒 的 ， 因 为 纯 文本 是 不 能 被 执行 的 ， 所 以 不 能 传播 病毒 (病毒 是 嵌入 在 其 
他 可 执行 文件 或 应 用 程序 中 的 可 执行 程序 或 宏文 件 )。 


(4) 跨 平台 的 可 执行 程序 和 脚本 : 现在 Web 应 用 非常 广泛 。 由 此 产生 了 诸如 Java、 
Perl 和 C/C++ 这 样 的 脚本 语言 。 公 共 网 关 接 口 (CGI) 脚本 允许 开发 者 在 客户 端 和 服务 
器 端 创建 交互 式 的 Web 脚本 来 处 理 和 响应 用 户 的 输入 。 无 论 是 在 服务 器 端 运行 的 CGI 
脚本 ， 还 是 在 客户 端 用 户 浏 览 器 上 运行 的 JavaScript 和 VBScript， 都 为 病毒 的 进入 制造 
了 漏洞 。 


hm nie 

按照 不 同 的 分 类 方式 ， 病 毒 的 种 类 也 不 同 。 目 前 ， 主 要 有 两 种 分 类 方式 : 基于 传播 
方式 的 计算 机 病毒 分 类 和 基于 结果 的 病毒 分 类 。 

基于 传播 方式 的 计算 机 病毒 分 类 见 表 10-1。 


表 10-1 基于 传播 方式 的 计算 机 病毒 分 类 

病毒 种 类 描述 

特洛伊 木马 病毒 ”特洛伊 木马 病毒 在 传播 过 程 中 隐藏 在 编译 器 、 编 辑 器 以 及 其 他 常见 的 用 户 程序 
中 。 一 旦 安全 到 达 目 标 系统 ， 当 程序 被 执行 时 ， 它 就 同样 可 以 被 执行 

多 态 病毒 这 种 病毒 的 特点 就 是 形式 变化 多 。 在 多 态 病 毒 进行 复制 之 前 , 必须 将 自己 变 成 其 
他 的 形式 以 避免 检测 。 这 也 就 意味 着 即使 病毒 检测 者 已 经 知道 了 病毒 的 签名 , 这 199 
个 签名 也 是 可 以 改变 的 。 多 态 病毒 也 可 以 对 病毒 签名 进行 加 密 之 后 再 传播 , 以 此 
躲避 防 病毒 软件 。 这 就 使 得 防 病毒 工作 更 加 困难 。 典 型 的 多 态 病毒 有 最 臭名 昭著 
的 “红色 代码 ”病毒 ， 几 乎 每 隔 一 天 就 变换 一 种 形式 

隐藏 型 病毒 就 像 多 态 病毒 为 了 躲避 检查 使 用 变异 一 样 , 隐藏 型 病毒 对 目标 文件 和 系统 的 引导 
区 记录 进行 修改 , 之 后 隐藏 这 些 修改 。 这 类 病毒 往往 处 在 操作 系统 和 应 用 程序 之 
间 。 在 这 些 位 置 ， 病毒 接受 操作 系统 的 报告 ， 并 且 在 其 传送 给 应 用 程序 的 时 候 对 
其 进行 修改 。 因 此 ,应 用 程序 和 防 病毒 检测 者 就 很 难 检测 到 它 的 存在 。 有 丙种 类 
型 的 隐藏 性 病毒: 规模 隐藏 型 和 读 隐藏 型 。 规模 隐藏 型 病毒 感染 程序 之 后 修改 程 
序 的 规模 ， 读 隐藏 型 病毒 截获 对 已 感染 的 引导 区 记录 或 文件 的 读 请 求 , 提供 一 个 
改造 的 读 记 录 ， 从 而 隐藏 自身 的 存在 


逆 录 病毒 逆 录 病毒 攻击 目标 机 器 上 的 防 病毒 软件 ,能够 关闭 防 病毒 软件 ,或 者 能 够 绕 过 防 
病毒 软件 。 另 外 一 种 逆转 录 病 毒 致力 于 破坏 完整 性 校 验 软件 中 的 完整 性 信息 数 
据 库 

加 壳 病 毒 这 种 病毒 在 目标 计算 机 中 首先 做 的 就 是 保护 自己 ， 使 得 其 更 难 被 防 病毒 软件 检 


测 、 跟 踪 、 拆 解 。 它 病毒 使 用 一 层 不 易 被 防 病毒 软件 渗透 的 保护 外 套 。 而 有 些 病 
毒 则 使 用 隐藏 方式 躲避 防 病毒 软件 

伴随 病毒 这 是 一 种 非常 聪明 的 病毒 , 它 首先 创建 可 执行 文件 , 然后 在 可 执行 文件 的 基础 之 
上 扩展 自己 。 每 次 可 执行 软件 启动 的 时 候 ， 这 种 病毒 总 是 被 最 先 执行 

哈 菌 体 病毒 这 种 病毒 可 以 用 自己 的 代码 代替 可 执行 代码 。 因为 这 种 特性 , 这 种 病毒 的 破坏 力 
非常 强大 ， 可 以 破坏 接触 到 的 每 一 个 可 执行 程序 


基于 结果 的 计算 机 病毒 分 类 见 表 10-2。 
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表 10-2 基于 结果 的 计算 机 病毒 分 类 

病毒 分 类 描述 

错误 生成 病毒 这 种 病毒 大 多 数 在 可 执行 软件 中 启动 。 一 旦 被 嵌入 到 软件 之 中 , 在 这 种 病毒 
的 作用 下 ， 软 件 就 会 产生 错误 

数据 和 程序 破坏 者 这 种 病毒 感染 软件 之 后 , 就 把 受 感染 机 体 作 为 生长 、 复 制 的 代理 和 攻击 的 踏 
板 ， 对 这 个 以 及 其 他 程序 和 数据 进行 破坏 

系统 粉碎 机 这 种 病毒 是 杀伤 力 最 强 的 一 种 病毒 , 一 旦 被 引入 计算 机 系统 , 就 会 彻底 挫 毁 
系统 

计算 机 时 间 窃 取 病毒 。 这 种 病毒 对 系统 的 软件 和 数据 都 没有 伤害 ， 只 是 能 够 窃取 系统 时 间 

硬件 破坏 者 病毒 大 多 数 的 病毒 修改 和 破坏 计算 机 数据 和 程序 , 当然 还 有 一 些 病 毒 能 够 攻击 和 
破坏 系统 的 硬件 。 这 些 病毒 通常 叫做 “杀手 病毒 "。 大 多 数 此 类 病毒 将 自己 
依附 在 微 指令 或 “mic” 中 ， 例 如 bios 和 设备 驱动 器 

逻辑 /时 间 炸 弹 逻辑 炸弹 入 侵 系 统 之 后 ,会 嵌入 到 系统 软件 之 中 ,把 系统 软件 作为 代理 载体 ， 
等 待 触发 事件 的 发 生 


@--10.2.5 病毒 防范 技术 - -， 


防 病毒 技术 的 目标 主要 有 4 种 类 型 的 病毒 普通 (in the wild) 病毒 、 宏 病毒 、 多 态 
病毒 以 及 标准 病毒 。“in the wild” 病 毒 也 就 是 世界 范围 内 每 天 在 用 户 计算 机 上 检测 到 的 
活跃 病毒 。 

每 年 ,“in the wild” 病 毒 都 会 被 收集 并 公布 在 WildList (WildList， 正 流行 的 病毒 列 
表 ) 上 .尽管 WildList 不 应 该 被 看 成 最 常见 病毒 的 列表 ,但 目前 这 个 列表 依然 被 用 作 in the 
wild 病毒 的 检测 基础 ,并 被 许多 防 病毒 软件 生产 公司 作为 防 病毒 产品 生产 的 标准 。 另外 ， 
基于 WildList 上 的 病毒 集合 正在 被 大 量 防 病毒 产品 检测 者 用 来 对 常见 病毒 的 命名 进行 标 
准 化 。 可 以 在 http: //www.wildlist.org 上 查看 到 最 新 的 WildList 列表 。 

WildLis 于 1996 年 4 月 由 Joe Wells 和 Sarah Gordon 共同 创建 , 它 是 全 球 三 大 权威 独 
立 评测 机 构 之 一 ， 以 提供 病毒 为 主 ， 不 进行 测试 。WildList 收集 的 都 是 实际 发 生 过 感染 
的 病毒 ， 十 分 贴近 用 户 实际 情况 ， 而 不 是 几乎 没有 生存 过 的 病毒 样本 。WildList 组 织 的 
使 命 就 是 为 电脑 病毒 (样本 ) 使 用 者 和 防 病 毒 产品 开发 者 ， 提 供 “ 流 行 在 外 ”的 电脑 病 
毒 的 精确 、 及 时 和 综合 的 信息 。“ WildList” 就 是 那些 病毒 发 生 后 流行 在 外 的 电脑 病毒 样 
本 清单 ， 由 各 种 组 织 的 超过 55 个 符合 条 件 的 志愿 者 发 现 后 并 上 报 来 的 , 然后 由 “流行 病 
毒 清单 ”组 织 整理 并 免费 提供 给 使 用 者 ， 如 图 10-3 和 图 10-4 所 示 。 一 些 反 病毒 专业 人 

， 志 愿 的 贡献 他 们 的 时 间 和 努力 ， 为 这 个 组 织 提供 病毒 信息 。 

其 他 3 种 类 型 的 病毒 已 经 本 节 前 面 的 部 分 讨论 过 了 。 防 病毒 软件 致力 于 检测 到 所 有 

这 些 形式 的 病毒 。 


The Extended WildList - March, 2012 
FULL-RELEASE 


Key Participant 


Ao Anyn Sachedina USA 

At Pavel Krcma 

Bc Bright Chu China 
Dd Deepen Desai - 

Me Grzegorz Michalek Poland 
Pa Luis Corrons Spain 
Pw Philipp Wolf Germany 
Rs Robert Sandilands USA 

Sh Shali Hsieh Global 
So SiHaeng Cho South Korea 
St Stuart Taylor 焉 


Yn Juraj Malcho - 


病毒 防范 与 过 滤 技 术 
Organization Product 
Symantec 齐 
AYG Techmologies 
FilsecLabs i 
Sonic¥Wall 
Arcabit 
Panda 高 
AVIRA 
Authentium Command 
Microsoft 
Ahnlab, Inc. V3 
Sophos Limited Sweep 
Eset NOD32 


The Extended WildList 


+ : new to the list this month. 
* :; reappearing entries. 


WildList Entry 


册 -000738ce6c2b6b04915d701d73cd0f96-0 
+WL-000f3bc70fal9643b464210b116962a3-0 
好 -002ddeb9a4f277be0d7f9ed50757d84c-0 
届 -009f8afb4f7dc643662eTb6a0b3e8bfc-0 
+WL-D0f1bcl2dTcc6570b706ff1lcbl664elc-0 
+WL-010b909ffcbaTdf73a06fa86b0633ef5-0 
如 -010efd41lc076aaflb4d80bddd1d42a138-0 


The VildList 


This main list includes viruses reported by multiple participants, 

Which appear to be non-regional in nature. This list is “the” WildList 
according to original specification, which required viruses to be verified 
In-the-Wild by a minimum of two participants. 


After falling off, viruses sometimes reappear on The WildList. Such 


Viruses are denoted with the symbol “*” 


+ Viruses marked with a plus sign (+) are new to 


Name of Virus 


List 
Date 


the list this month. 


Reported 
by 


+WL-b91f9elac19a021242a87c872b25f893-0 
WL-b3ae8cb2b5e9676ala39c9b948b5559b-0 
+WL-92eeT2bcb7Tf2acf95dde7b551c29bbfb-0 
WL-b8aedcc30a28c6461956ae341271919a-0 
+WML-19f667521f26c787417177a0957da839-0 
好 -95793af07cab513b37f2d240d118c3a3-0 
凰 -0dcedebdfdlde0343e40f301edb12d13-0 
寻 -f70b71d63376e7a0823a7dlc67379704-0 
凰 -959flce6a71d76e639332a2ac8636626-0 
好 -6256e0bb3bd00abce63f320f4d9c3ff2-0 
凰 -db852f21dl3ec3lc2c4d22f346bd6374-0 
好 -7978b71587cc793c25c4b08fbf0c84bd-0 
-11Teff1457c72Tef3beeTTc6beedT7fe-0 


10/11 
3/12 
1/12 
3/12 
1/12 
3/12 

10/11 
2/12 

10/11 

10711 
1/12 
2/12 

10/11 

10711 


Shym 
PasSh 
GoShYm 
PaPwYn 
PasSh 
MeSh 
GoMeSh 
GoShYn 
HtShYm 
HtYm 
Pash 
PaShYm 
ShYn 
HtYm 
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10.3 垃圾 邮件 防范 技术 


@ - 10.3.1 垃圾 邮件 的 定义 及 危害 -- 


\ 
>/ 


现在 对 垃圾 邮件 还 没有 一 个 非常 严格 的 定义 。 一 般 来 说 ， 凡 是 未 经 用 户 许可 就 强行 
发 送 到 用 户 邮 箱 中 的 任何 电子 邮件 都 可 称 为 垃圾 邮件 。 在 中 国 ， 中 国电 信和 中 国 互 联网 
协会 分 别 对 垃圾 邮件 作 了 定义 。 

(1) 中 国电 信 对 垃圾 邮件 的 定义 

2000 年 8 月 ， 中 国电 信和 制定 了 适用 于 中 国电 信 IP 网 络 所 有 用 户 〈 包 括 拨号 用 户 、 
专线 用 户 及 其 他 有 业务 流 经 中 国电 信 卫 网 的 用 户 ) 的 垃圾 邮件 处 理 办 法 。 中 国电 信 将 垃 
圾 邮件 的 定义 为 :“ 向 未 主动 请 求 的 用 户 发 送 的 电子 邮件 广告 、 刊 物 或 其 他 资料 ; 没有 明 
确 的 退 信 方 法 、 发 信人 、 回 信 地 址 等 的 邮件 ;利用 中 国电 信 的 网 络 从 事 违反 其 他 ISP 的 
安全 策略 或 服务 条 款 的 行为 ， 其 他 预计 会 导致 投诉 的 邮件 。” 

(2) 中 国 互联 网 协会 对 垃圾 邮件 的 定义 

2002 年 11 月 1 日 ,由 中 国 互联 网 协会 、263 网 络 集团 和 新 浪 网 共同 发 起 ， 中 国 互联 
网 协会 反 垃圾 邮件 协调 小 组 即日 在 北京 正式 成 立 , 国内 20 多 家 邮件 服务 商 首 批 参加 了 反 
垃圾 邮件 协调 小 组 。 媒 体 称 此 举 是 向 垃圾 邮件 打响 了 第 一 枪 ， 但 枪 声响 过 之 后 ， 是 否 能 
将 目标 给 予 严重 打击 ， 目 前 还 看 不 出 任何 明显 效果 。 中 国 互联 网 协会 在 《中 国 互联 网 协 
会 反 垃 圾 邮件 规范 》 中 是 这 样 定 义 垃圾 邮件 的 :“ 本 规范 所 称 垃 圾 邮件 ,包括 下 述 属 性 的 
电子 邮件 : 收 件 人 事先 没有 提出 要 求 或 者 同意 接收 的 广告 、 电 子 刊物 、 各 种 形式 的 宣传 
品 等 宣传 性 的 电子 邮件 ; 收 件 人 无 法 拒 收 的 电子 邮件 ;隐藏 发 件 人 身份 、 地 址 、 标 题 等 
信息 的 电子 邮件 ; 含有 虚假 的 信息 源 、 发 件 人 、 路 由 等 信息 的 电子 邮件 。” 

垃圾 邮件 可 以 说 是 Intemet 带 给 人 类 最 具 争 议 性 的 副产品 ， 它 的 泛滥 已 经 使 整个 
Internet 不 堪 重 负 。 其 主要 危害 有 以 下 几 点 。 

(1) 占用 网 络 带宽 ， 造 成 邮件 服务 器 拥塞 ， 进 而 降低 整个 网 络 的 运行 效率 。 

(2) 侵犯 收 件 人 的 隐私 权 , 侵占 收 件 人 信箱 空间 ， 耗 费 收 件 人 的 时 间 、 精 力 和 人 金钱。 
有 的 垃圾 邮件 还 盗用 他 人 的 电子 邮件 地 址 做 发 信 地 址 ， 严 重 损 害 了 他 人 的 信誉 。 

(3) 成 为 被 黑客 利用 的 工具 。2000 年 2 月 ， 黑 客 攻 击 雅 虎 等 五 大 热门 网 站 就 是 一 个 
例子 。 黑 客 首先 侵入 并 控制 了 一 些 高 带宽 的 网 站 ， 集 中 众多 服务 器 的 带宽 能 力 ， 然 后 用 
数 以 亿 万 计 的 垃圾 邮件 猛烈 袭击 目标 ， 造 成 被 攻击 网 站 网 路 堵塞， 最 终 瘫痪 。 

(4) 严重 影响 ISP 的 服务 形象 。 在 国际 上 ， 频 繁 转发 垃圾 邮件 的 主机 会 被 上 级 国际 
因特网 服务 提供 商 列 入 国际 垃圾 邮件 数据 库 ， 从 而 导致 该 主机 不 能 访问 国外 许多 网 络 。 
而 且 收 到 垃圾 邮件 的 用 户 会 因为 ISP 没有 建立 完善 的 垃圾 邮件 过 滤 机 制 , 而 转向 其 他 ISP。 
因为 超过 60% 的 Intemet 应 用 是 电子 邮件 应 用 ， 因 此 ， 垃 圾 邮件 对 一 大 批 的 Intemet 用 
户 产 生 作用 。 有 以 下 几 种 方式 可 以 用 来 对 抗 垃圾 邮件 。 

(1) 避免 在 公共 场所 张贴 电子 邮件 地 址 。 个 人 网 页 底部 的 电子 邮件 地 址 是 垃圾 邮件 
制造 者 的 必 选 目标 。 如 果 必 须 在 个 人 网 页 上 放置 个 人 电子 邮件 , 尝试 找 一 种 方式 隐藏 它 。 
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(2) 限制 填写 要 求 电子 邮件 地 址 的 在 线 表 格 。 如 果 有 可 能 ， 就 一 直 避 免 在 填写 表格 
的 时 候 提 供电 子 邮 件 地 址 。 

(3) 使 用 不 容易 被 猜 到 的 电子 邮件 地 址 。 现 在 ， 垃 圾 邮件 制造 者 正在 试图 猜测 电子 
邮件 地 址 ， 因 此 尽量 使 用 难以 被 猜测 到 的 电子 邮件 地 址 。 

(4) 使 用 多 个 电子 邮件 地 址 。 建 议 同 时 使 用 多 个 电子 邮件 地 址 ， 在 个 人 商业 用 途上 
使 用 一 个 地 址 。 当 填写 无 关 紧 要 的 信息 时 ， 使 用 不 同 的 电子 邮件 地 址 。 

(5) 垃圾 邮件 过 滤 。 建 议 在 网 络 层 或 应 用 层 使 用 垃圾 邮件 过 滤 来 阻塞 不 想 要 的 电子 
邮件 。 尽 管 这 种 方法 存在 着 一 定 的 问题 ， 但 是 能 够 极 大 地 减少 用 户 接受 到 的 垃圾 邮件 的 
数量 。 现 在 ， 许 多 的 ISP 都 支持 垃圾 邮件 过 滤 。 

(6) 立法 。 很 多 国家 和 地 方 政府 已 经 通过 了 打击 垃圾 邮件 的 法 律 。 在 欧洲 ， 已 经 通 
过 了 欧盟 数字 隐私 规则 ， 并 且 已 经 生效 。 这 些 条 例 要 求 公 司 在 发 送 电子 邮件 ， 在 网 上 获 
取 个 人 信息 ， 或 通过 卫星 连接 的 移动 电话 定位 用 户 之 前 要 先 得 到 用 户 的 同意 。 这 个 条 例 
还 限制 公司 使 用 cookies 和 其 他 的 方法 来 收集 用 户 的 信息 。 在 美国 , 在 联邦 政府 和 州 一 级 
政府 同样 在 努力 颁布 垃圾 邮件 的 法 律 。 除 了 美国 、 欧 盟 、 其 他 一 些 国家 ， 包 括 澳大利亚 、 
加 拿 大 、 日 本 、 俄 罗斯 、 巴 西 、 印 度 已 经 或 正在 努力 颁布 垃圾 邮件 的 法 律 。 


从 1990 年 开始 ， 垃 圾 邮件 就 成 为 网 络 服务 商 (ISP》 和 企业 的 头号 难题 。ISP 和 企 
业 不 得 不 采取 行动 来 过 制 对 邮件 服务 器 和 网 络 造 成 威胁 的 垃圾 邮件 。 尽 管 这 个 问题 广泛 
地 被 信息 行业 所 承认 ， 但 之 前 却 很 少 有 反 垃 圾 邮件 的 工具 和 技术 。 信 息 行业 ， 包 括 邮件 
服务 商 和 相关 产品 ， 以 及 行业 标准 ， 对 于 垃圾 邮件 问题 都 反应 过 慢 一 一 最 初 都 低估 了 垃 
圾 邮件 的 数量 、 技 术 复 杂 性 和 影响 力 。 从 反 垃 圾 邮件 的 历史 来 看 ， 反 垃圾 邮件 技术 主要 
经 历 了 4 代 ， 如 图 10-5 所 示 。 


图 10-5 反 垃 圾 邮件 技术 历史 


当前 的 反 垃圾 邮件 技术 主要 可 以 分 为 4 大 类 一 一 过 滤 技 术 、 验 证 查询 技术 、 挑 战 技 
术 和 密码 术 ， 这 些 解决 办 法 都 可 以 减少 垃圾 邮件 问题 ， 但 是 也 都 存在 各 自 的 局 限 性 。 


1. 过 滤 技 术 
过 滤 技 术 是 一 种 相对 来 说 最 简单 却 很 直接 的 处 理 垃圾 邮件 技术 。 这 种 技术 主要 用 于 
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接收 系统 (MUA， 如 OUTLOOK EXPRESS 或 者 MIA， 如 sendmail) 来 辨别 和 处 理 垃圾 
邮件 。 从 应 用 情况 来 看 ， 这 种 技术 也 是 使 用 最 广泛 的 ， 比 如 很 多 邮件 服务 器 上 的 反 垃圾 
邮件 插件 、 反 垃圾 邮件 网 关 、 客 户 端 上 的 反 垃 圾 邮件 功能 等 ， 都 是 采用 的 过 滤 技 术 。 过 
滤 技 术 主要 有 以 下 几 种 类 型 。 

(1) 关键 词 过 滤 

关键 词 过 滤 技 术 通常 创建 一 些 简单 或 复杂 的 与 垃圾 邮件 关联 的 单词 表 来 识别 和 处 理 
垃圾 邮件 。 比 如 某 些 关键 词 大 量 出 现在 垃圾 邮件 中 , 如 一 些 病毒 的 邮件 标题 , 比如 : hello。 
这 种 方式 就 像 反 病 毒 软件 利用 病毒 特征 一 样 。 可 以 说 关键 词 过 滤 是 一 种 简单 的 内 容 过 滤 
方式 来 处 理 垃圾 邮件 ， 它 的 基础 是 必须 创建 一 个 庞大 的 过 滤 关 键 词 列表 。 

过 滤 技 术 的 缺陷 很 明显 ， 过 滤 的 能 力 同 关键 词 有 明显 联系 ， 关 键 词 列表 造成 错 报 的 
可 能 性 比较 大 ， 当 然 系统 采用 这 种 技术 来 处 理 邮 件 的 时 候 消耗 的 系统 资源 会 比较 多 。 并 
且 ， 一 般 躲 避 关 键 词 的 技术 比如 拆 词 ， 组 词 就 很 容易 绕 过 过 滤 。 

(2) 黑白 名 单 
黑 名 单 (Black List) 和 和 白 名 单 《White List)。 分 别 是 已 知 的 垃圾 邮件 发 送 者 或 可 信 
任 的 发 送 者 瑟 地 址 或 者 邮件 地 址 。 现 在 有 很 多 组 织 都 在 研究 block list， 将 那些 经 常 发 送 
垃圾 邮件 的 下 地 址 (甚至 人 地 址 范围 ) 收集 在 一 起 ， 做 成 block list， 比 如 spamhaus 的 
SBL (Spamhaus Block List) 可 以 在 很 大 范围 内 共享 。 许 多 ISP 正在 采用 一 些 组 织 的 block 
list 来 阻止 接收 垃圾 邮件 。 白 名 单 则 与 黑 名 单 相反 ， 对 于 那些 信任 的 邮件 地 址 或 者 人 P 就 
完全 接受 了 。 

目前 很 多 邮件 接收 端 都 采用 了 黑白 名 单 的 方式 来 处 理 垃圾 邮件 ,包括 MUA 和 MTA， 
当然 在 MTA 中 使 用 得 更 广泛 ， 这 样 可 以 有 效 地 减少 服务 器 的 负担 。 

黑白 名 单 技术 也 有 明显 的 缺陷 ， 因 为 不 能 在 block list 中 包含 所 有 的 《即便 是 大 量 ) 
的 下 地 址 ， 而 且 垃 圾 邮件 发 送 者 很 容易 通过 不 同 的 他 地 址 来 制造 垃圾 。 

(3) HASH 技术 

HASH 技术 是 邮件 系统 通过 创建 HASH 来 描述 邮件 内 容 ， 比 如 将 邮件 的 内 容 、 发 件 
人 等 作为 参数 ， 最 后 计算 得 出 这 个 邮件 的 HASH 来 描述 这 个 邮件 。 如果 HASH 相同 ， 那 
么 说 明 邮 件 内 容 、 发 件 人 等 相同 。HASH 技术 在 一 些 ISP 上 比较 常用 ， 如 果 出 现 重 复 的 
HASH 值 ， 那 么 就 可 以 怀疑 是 大 批量 发 送 邮件 了 。 

(4) 基于 规则 的 过 滤 

这 种 过 滤 根 据 某 些 特征 《比如 单词 、 词 组 、 人 位置、 大小、 附件 等 ) 来 形成 规则 ， 通 
过 这 些 规则 来 描述 垃圾 邮件 ， 就 如 IDS 中 描述 一 条 入 侵 事件 一 样 。 要 使 过 滤器 有 效 ， 管 
理 人 员 必 须要 维护 一 个 庞大 的 规则 库 。 

(5) 智能 和 概率 系统 

这 种 技术 广泛 使 用 的 就 是 贝 叶 斯 (Bayesian) 算法 ， 它 可 以 学 习 单词 的 频率 和 模式 ， 
这 样 可 以 同 垃圾 邮件 和 正常 邮件 关联 起 来 进行 判断 。 相 对 于 关键 字 来 说 ， 这 种 技术 更 复 
杂 、 更 智能 化 。 目 前 它 是 客户 端 和 服务 器 中 使 用 最 广泛 的 技术 。 

现行 的 很 多 采用 过 滤器 技术 的 反 垃圾 邮件 产品 通常 都 采用 了 多 种 过 滤器 技术 ， 以 便 
使 产品 更 为 有 效 。 过 滤器 通过 它们 的 误 报 和 漏 报 来 分 等 级 。 漏 报 就 是 指 垃圾 邮件 绕 过 了 
过 滤器 的 过 滤 。 而 误 报 则 是 将 正常 的 邮件 判断 为 了 垃圾 邮件 。 完 美的 过 滤器 系统 应 该 是 
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不 存在 漏 报 和 误 报 的 ， 但 是 这 是 理想 情况 。 

一 些 基 于 过 滤器 原理 的 反 垃圾 邮件 系统 通常 有 下 面 的 3 种 局 限 性 。 

(1) 可 能 被 绕 过 。 垃 圾 邮件 发 送 者 和 他 们 用 的 发 送 工具 也 不 是 静态 的 ， 他 们 也 会 很 
快 适应 过 滤器 。 比 如 ， 针 对 关键 字 列表 ， 他 们 可 以 随机 更 改 一 些 单词 的 拼写 来 绕 过 hash 
过 滤器 。 当 前 普遍 使 用 的 贝 叶 斯 过 滤器 可 以 通过 插入 随机 单词 或 句子 来 绕 过 。 多 数 过 滤 
器 都 最 多 只 能 在 少数 几 周 才 最 有 效 ， 为 了 保持 反 垃圾 邮件 系统 的 实用 性 ， 过 滤器 规则 就 
必须 不 断 更 新 ， 比 如 每 天 或 者 每 周 更 新 。 

(2) 误 报 问题 。 将 正常 邮件 判断 为 垃圾 邮件 是 一 个 比较 严重 的 事故 。 比 如 ， 一 封包 
含 单词 sample 的 正常 邮件 可 能 因此 被 判断 为 垃圾 邮件 。 某 些 正常 服务 器 有 时 会 不 幸 包 含 
在 不 负责 任 的 组 织 发 布 的 block list 对 某 个 网 段 进行 屏蔽 中 , 而 不 是 由 于 发 送 了 垃圾 邮件 。 
但 是 ， 如 果 要 减少 误 报 问题 ， 就 可 能 造成 严重 的 漏 报 问题 。 

(3) 过 滤器 复查 。 由 于 误 报 问题 的 存在 ， 通 常 被 标记 为 垃圾 邮件 的 消息 一 般 不 会 被 
立刻 删除 ， 而 是 被 放置 到 垃圾 邮件 箱 里 面 ， 以 便 日 后 检查 。 不 幸 的 是 ， 这 也 意味 着 用 户 
仍然 必须 花费 时 间 去 察看 垃圾 邮件 ， 即 便 仅 只 针对 邮件 标题 。 

过 滤 技 术 可 以 帮助 用 户 组 织 并 分 离 邮 件 为 垃圾 邮件 和 正常 邮件 ， 但 是 并 不 能 阻止 垃 
圾 邮件 ， 实 际 上 只 是 在 “处 理 ” 垃 圾 邮件 。 尽 管 过 滤器 技术 存在 局 限 ， 但 是 ， 这 是 目前 
最 为 广泛 使 用 的 反 垃 圾 邮件 技术 。 


2. 验证 查询 技术 


垃圾 邮件 一 般 都 是 使 用 伪造 的 发 送 者 地 址 ， 极 少数 的 垃圾 邮件 才 会 用 真实 地 址 。 垃 
圾 邮件 发 送 者 基于 以 下 几 点 原因 来 伪造 邮件 ， 因 为 是 违法 的 ， 在 很 多 国家 ， 发 送 垃圾 邮 
件 都 是 违法 行为 ， 通 过 伪造 发 送 地 址 ， 发 送 者 就 可 能 避免 被 起 诉 ， 因 为 不 受 欢 迎 ， 垃 圾 
邮件 发 送 者 都 明白 垃圾 邮件 是 不 受 欢迎 的 , 通过 伪造 发 送 者 地 址 , 就 可 能 减少 这 种 反应 ; 
受到 ISP 的 限制 ， 多 数 ISP 都 有 防止 垃圾 邮件 的 服务 条 款 ， 通 过 伪造 发 送 者 地 址 ， 他 们 
可 以 减少 被 ISP 禁止 网 络 访问 的 可 能 性 。 因 此 ， 如 果 能 够 采用 类 似 黑 白 名 单一 样 ， 能 够 
更 智能 地 识别 哪些 是 伪造 的 邮件 ， 哪 些 是 合法 的 邮件 ， 那 么 就 能 从 很 大 程度 上 解决 垃圾 
邮件 问题 ， 验 证 查询 技术 正 是 基于 这 样 的 出 发 点 而 产生 的 。 下 面 介绍 的 几 种 都 是 比较 常 
用 的 验证 查询 技术 。 

(1) 反 向 查询 技术 

从 垃圾 邮件 的 伪造 角度 来 说 ， 能 够 解决 邮件 的 伪造 问题 ， 就 可 以 避免 大 量 垃圾 邮件 
的 产生 。 为 了 限制 伪造 发 送 者 地 址 , 一些 系 统 就 会 要 求 验证 发 送 者 的 邮件 地 址 DNS 是 全 
球 互联 网 服务 来 处 理 他 地 址 和 域名 之 间 的 转化 。 在 1986 年 ，DNS 扩展 ， 并 有 了 邮件 交 
换 记录 (MX), 当 发 送 邮件 的 时 候 ,邮件 服务 器 通过 查询 MX 记录 来 对 应 接收 者 的 域名 。 
类 似 于 MX 记录 ,， 反 查询 解决 方案 就 是 定义 反 向 的 MX 记录 (“RMX ”一 一 RMX,“SPF” 
一 一 SPF,“DMP” 一 一 DMP)， 用 来 判断 是 否 邮 件 的 指定 域名 和 他 地 址 是 完全 对 应 的 。 
因为 伪造 邮件 的 地 址 一 般 是 不 会 来 自 RMX 地 址 ， 因 此 可 以 判断 是 否 伪造 。 

(2) DKIM 技术 

DKIM (DomainKeys Identified Mail) 技术 基于 雅虎 的 DomainKeys 验证 技术 和 思科 
的 Internet Identified Mail。 雅 虎 的 DomainKeys 利 用 公共 密 钥 密码 术 验 证 电子 邮件 发 件 人 。 
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发 送 系统 生成 一 个 签名 并 把 签名 插入 电子 邮件 标题 , 而 接收 系统 利用 DNS 发 布 的 一 个 公 
共 密 钥 验 证 这 个 签名 。 思 科 的 验证 技术 也 利用 密码 算法 ， 但 它 把 签名 和 电子 邮件 消息 本 
身 关 联 起 来 。 发 送 服务 器 为 电子 邮件 消息 签名 并 把 签名 和 用 于 生成 签名 的 公共 密 钥 插入 
一 个 新 标题 。 而 接收 系统 验证 这 个 用 于 为 电子 邮件 消息 签名 的 公共 密 钥 是 授权 给 这 个 发 
件 地 址 使 用 的 。 

DKIM 技术 把 这 两 个 验证 系统 整合 起 来 。 它 以 和 DomainKeys 相同 的 方式 用 DNS 发 
布 的 公共 密 钥 验证 签名 ， 它 也 利用 思科 的 标题 签名 技术 确保 一 致 性 。 

DKIM 给 邮件 提供 一 种 机 制 来 同时 验证 每 个 域 邮件 发 送 者 和 消息 的 完整 性 。 一 旦 域 
能 被 验证 ， 就 用 来 同 邮 件 中 的 发 送 者 地 址 作 比 较 来 检测 真 伪 ， 如 果 是 伪造 的 ， 那 么 可 能 
是 spam 或 者 是 欺骗 邮件 ， 就 可 以 被 丢弃 。 如 果 不 是 伪造 的 ， 并 且 域 是 已 知 的 ， 则 可 为 
其 建立 起 良好 的 声誉 ,并 绑 定 到 反 垃 圾 邮件 策略 系统 中 , 也 可 以 在 服务 提供 商 之 问 共享 ， 
甚至 直接 提供 给 用 户 。 

(3) SenderID 技术 

SenderID 技术 主要 包括 两 个 方面 : 发 送 邮件 方 的 支持 和 接收 邮件 方 的 支持 。 其 中 发 
送 邮件 方 的 支持 主要 有 3 个 部 分 : 发 信人 需要 修改 邮件 服务 器 的 DNS， 增加 特定 的 SPF 
记录 以 表明 其 发 信 身份 ， 比 如 “v=spfl ip4:192. 0.4.0/24 -all”， 表 示 使 用 SPF1 版 本 ， 对 
于 192. 0.4.0/24 这 个 网 段 是 有 效 的 ; 在 可 选 情况 下 , 发 信人 的 MTA 支持 在 发 信 通 信 协 议 
中 增加 SUBMITTER 等 扩展 ， 并 在 其 邮件 中 增加 Resent-Sender、Resent-From、Sender 

接收 邮件 方 的 支持 有 : 收 信 人 的 邮件 服务 器 必须 采用 SenderID 检查 技术 ,对 收 到 的 
邮件 检查 PRA 或 MAILFROM， 查 询 发 件 者 DNS 的 SPF 记录 ， 并 以 此 验证 发 件 者 身份 。 

因此 ， 采 用 Sender ID 技术 ， 其 整个 过 程 如 下 。 

口 发 件 人 撰写 邮件 并 发 送 。 

口 邮件 转移 到 接收 邮件 服务 器 。 

口 接收 邮件 服务 器 通过 SenderID 技术 对 发 件 人 所 声称 的 身份 进行 检查 ( 该 检查 通 

过 DNS 的 特定 查询 进行 )。 
口 如 果 发 现 发 信人 所 声称 的 身份 和 其 发 信 地 址 相 匹配 ， 那 么 接收 该 邮件 ， 否 则 对 
该 邮件 采取 特定 操作 ， 比 如 直接 拒 收 该 邮件 ， 或 者 作为 垃圾 邮件 。 

Sender ID 技术 实际 上 只 是 一 个 解决 垃圾 邮件 发 送 源 的 技术 ， 从 本 质 上 来 说 ， 并 不 能 
鉴定 一 个 邮件 是 否 是 垃圾 邮件 ， 所 以 它 不 能 根除 垃圾 邮件 。 垃 圾 邮件 发 送 者 可 以 通过 注 
册 廉 价 的 域名 来 发 送 垃圾 邮件 ， 从 技术 的 角度 来 看 ， 一 切 都 是 符合 规范 的 ， 还 有 ， 垃 圾 
邮件 发 送 者 还 可 以 通过 别人 的 邮件 服务 器 的 漏洞 转发 其 垃圾 邮件 , 这 同样 是 SenderID 技 
术 所 不 能 解决 的 。 

(4) FairUCE 技术 

FairUCE (Fair use of Unsolicited Commercial Email) 由 IBM 开发 ， 该 技术 使 用 网 络 
领域 的 内 置身 份 管理 工具 ， 通 过 分 析 电 子 邮件 域名 过 滤 并 封锁 垃圾 邮件 。 

FairUCE 把 收 到 的 邮件 同 其 源头 的 中 地 址 相 链接 : 在 电子 邮件 地 址 、 电 子 邮件 域 和 
发 送 邮件 的 计算 机 之 间 建 立 起 一 种 联系 ， 以 确定 电子 邮件 的 合法 性 。 比 如 采用 SPF 或 者 
其 他 方法 。 如 果 ， 能 够 找到 关系 ， 那 么 检查 接受 方 的 黑白 名 单 ， 以 及 域名 名 声 ， 以 此 决 
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定 对 该 邮件 的 操作 ， 比 如 接收 、 拒 绝 等 。 

FairUCE 还 有 一 个 功能 ， 就 是 通过 溯源 找到 垃圾 邮件 的 发 送 源头 ， 并 且 将 那些 传递 
过 来 的 垃圾 邮件 再 转 回 给 发 送 源头 ， 以 此 来 打击 垃圾 邮件 发 送 者 。 这 种 做 法 利 次 都 有 。 
好 处 就 是 能 够 影响 垃圾 邮件 发 送 源头 的 性 能 ， 坏 处 就 是 可 能 会 打击 到 正常 的 服务 器 〈 比 
某 些 被 利用 的 服务 器 ) 的 正常 工作 ， 同 时 该 功能 又 复制 了 大 量 垃 圾 流量 。 

(5) 指纹 技术 

“邮件 指纹 ”技术 作为 一 种 反 垃圾 邮件 的 新 技术 越 来 越 受 到 人 们 的 青睐 , 这 种 新 的 技 
术 给 每 封 发 送 的 电子 邮件 信息 增加 扩展 了 的 报头 信息 。 这 种 报头 中 会 包含 一 种 独特 的 签 
名 信息 ， 签 名 信息 由 相应 的 加 密 算 法 生成 ， 这 种 算法 基于 电子 邮件 用 户 身份 的 特有 识别 
信息 以 及 邮件 的 时 间 识 别 信息 等 。 外 部 电子 邮件 服务 器 通常 返回 原始 信息 的 传输 指令 ， 
称 为 “报头 信息 ”， 其 中 包括 新 指纹 的 扩展 信息 和 原始 信息 的 一 部 分 。 这 就 允许 服务 器 检 
测 签名 信息 以 确定 电子 邮件 是 合法 的 用 户 信息 还 是 垃圾 邮件 制造 者 的 伪造 返回 消息 。 其 
目的 是 利用 邮件 指纹 组 织 垃圾 邮件 风暴 。 当 然 这 种 新 技术 不 可 能 解决 所 有 问题 ， 但 可 以 
保证 采用 这 种 技术 的 邮件 服务 器 免 受 垃圾 邮件 的 淹没 。 

上 述 解决 方案 都 具有 一 定 的 可 用 性 ， 但 是 也 存在 一 些 局 限 性 。 


3. 挑战 技术 


垃圾 邮件 发 送 者 使 用 一 些 自动 邮件 发 送 软件 每 天 可 以 产生 数 百 万 的 邮件 。 挑 战 技术 
通过 延缓 邮件 处 理 过 程 ， 将 可 以 阻碍 大 量 垃圾 邮件 的 发 送 。 那 些 只 发 送 少量 邮件 的 正常 
用 户 不 会 受到 明显 的 影响 。 但 是 ， 挑 战 技术 只 在 很 少 人 使 用 的 情况 下 获得 了 成 功 。 如 果 
在 更 普及 的 情况 下 , 可 能 人 们 更 关心 的 是 是 否 会 影响 到 邮件 传递 而 不 是 会 阻碍 垃圾 邮件 。 
挑战 技术 有 两 种 形式 : 挑战 一 响应 和 计算 性 挑战 。 
(1) 挑战 一 响应 
挑战 一 响应 (Challenge-Response，CR) 系统 保留 着 许可 发 送 者 的 列表 。 一 个 新 的 
邮件 发 送 者 发 送 的 邮件 将 被 临时 保留 下 来 而 不 被 立即 传递 。 然 后 向 这 个 邮件 发 送 者 返回 
一 封包 含 挑战 的 邮件 挑战 可 以 是 连接 URL 或 者 是 要 求 回复 )。 当 完成 挑战 后 ， 新 的 发 
送 者 则 被 加 入 到 许可 发 送 者 列表 中 。 对 于 那些 使 用 假 邮件 地 址 的 垃圾 邮件 来 说 ， 它 们 不 
可 能 接收 到 挑战 ， 而 如 果 使 用 真实 邮件 地 址 的 话 ， 又 不 可 能 回复 所 有 的 挑战 。 但 是 ，CR 
系统 还 是 有 许多 局 限 性 。 
口 CR 死 锁 问题 ”假如 Lily 告诉 Mike 要 给 朋友 Eric 发 送 邮件 。Mike 发 送 一 个 邮 
件 给 Eric，Eric 的 CR 系统 临时 中 断 邮件 并 发 送 给 Mike 一 个 挑战 。 但 是 Mike 
的 CR 系统 又 会 中 断 Eric 这 里 发 送出 来 的 挑战 邮件 ， 并 发 送 自己 的 挑战 。 因 此 ， 
结果 就 是 ， 用 户 都 没有 接收 到 挑战 ， 而 且 用 户 也 无 法 回复 邮件 。 而 且 用 户 也 无 
法 知道 ， 在 挑战 过 程 中 发 生 了 问题 。 因 此 ， 如 果 双 方 都 使 用 CR 系统 的 话 ， 他 们 
就 可 能 根本 无 法 进行 沟通 。 
口 自动 系统 问题 ”邮件 列表 或 者 那些 自动 系统 ， 比 如 一 些 网 站 的 “发 送 给 同 
学 ……” 功 能 ， 就 不 可 能 回应 挑战 。 
口 解释 挑战 问题 许多 CR 系统 都 执行 解释 性 挑战 . 这 些 复 杂 的 CR 系统 包含 了 字 
符 识 别 和 参数 匹配 ， 但 是 即便 如 此 ， 还 是 能 够 进行 自动 化 操作 。 比 如 ，Yahoo 
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的 CR 系统 在 创建 新 邮件 账号 的 时 候 ,对 于 那些 有 简单 智能 字符 分 析 的 系统 是 存 
在 漏洞 的 。Hushmail 的 邮件 CR 系统 要 求 从 蓝 背 景 图 片 中 找 出 指定 的 图 形 (分 
析 背 景 ， 找 出 图 形 ， 提 交 坐 标 ， 这 是 可 能 的 )。 

但 是 实际 上 ， 多 数 的 垃圾 邮件 发 送 者 完全 不 理 肯 了 这 些 CR 系统 ， 因 为 他 们 主要 是 
担心 没有 大 量 的 接收 者 ， 而 不 是 担心 挑战 太 复杂 。 许 多 垃圾 邮件 发 送 者 也 使 用 有 效 的 邮 
件 地 址 。 当 CR 系统 会 干扰 垃圾 邮件 的 时 候 ， 那 些 发 送 者 也 会 找 出 自动 化 解决 这 些 挑战 
的 办 法 。 

(2) 计算 性 挑战 

目前 也 提出 了 一 些 计算 性 挑战 方案 Computational Challenge，CC)， 如 通过 增加 发 
送 邮 件 的 “费用 ”。 多 数 CC 系统 使 用 复杂 的 算法 来 有 意 拖延 时 间 。 对 于 单个 用 户 来 说 ， 
这 种 拖延 很 难 被 察觉 ， 但 是 对 于 发 送 大 量 邮件 的 垃圾 邮件 发 送 者 来 说 ， 这 就 意味 着 要 花 
费 很 多 时 间 了 。CC 系统 的 实例 , 如 Hash Cash (http://www.cypherspace.org/adam/hashcash/ )。 
但 是 ， 即 便 如 此 ，CC 系统 还 是 会 影响 快速 通信 而 不 仅 影响 垃圾 邮件 。CC 系统 存在 如 下 
局 限 。 

口 不 平等 影响 计算 性 挑战 是 以 CPU、 内 存 和 网 络 为 基础 的 ， 比 如 ， 在 1GHz 计 

算 机 上 挑战 可 能 花费 10 秒 ， 但 是 在 500MHz 上 就 需要 花费 20 秒 了 。 

口 邮件 列表 许多 邮件 列表 都 有 数 千 , 其 至 数 百 万 的 接受 者 ， 比 如 BugTraq， 就 可 

能 会 被 看 作 垃圾 邮件 了 。CC 系统 来 处 理 邮 件 列表 是 不 现实 的 ， 如 果 垃圾 邮件 发 

送 有 办 法 通过 合法 的 邮件 列表 来 绕 过 挑战 ， 那 么 他 们 也 就 有 办 法 绕 过 其 他 的 挑 

战 了 。 

口 机 器 人 程序 Sobig 或 者 其 他 像 垃 圾 邮件 一 样 的 病毒 , 能 让 垃圾 邮件 发 送 者 控制 

大 量 的 机 器 ， 这 就 让 他 们 能 够 用 大 量 的 系统 来 均衡 “费用 ”了 。 

口 “合法 的 机 器 人 程序 垃圾 邮件 发 送 者 发 送 垃圾 邮件 是 因为 会 给 他 们 带 来 收入 。 

如 果 这 些 人 联合 起 来 ,就 可 能 提供 大 量 的 系统 来 分 担 “ 费 用 ”， 这 完全 是 合法 的 ， 

而 且 不 需要 通过 病毒 手段 了 。 

当前 ， 计 算 性 挑战 还 没有 广泛 应 用 ， 因 为 这 种 技术 还 不 能 解决 spam 问题 ， 反 而 可 
F 扰 正常 用 户 。 
4， 密码 技术 


目前 ， 业 界 提出 了 采用 密码 技术 来 验证 邮件 发 送 者 的 方案 。 从 本 质 上 来 说 ， 这 些 系 
统 采用 证 书 方式 来 提供 证 明 。 没 有 适当 的 证 书 ， 伪 造 的 邮件 就 很 容易 被 识别 出 来 ， 以 下 
就 是 一 些 密码 解决 办 法 。 

目前 的 SMTP〈 简 单 邮件 传输 协议 ) 不 能 直接 支持 加 密 验证 。 一 些 解 决 方案 扩展 了 
SMTP (如 S/MIME、PGP/MIME 和 AMTP)， 还 有 一 些 其 他 的 则 打算 代替 现在 的 邮件 体 
系 ， 比 如 MTP。 在 采用 证 书 的 时 候 ， 比 如 X.509 或 TLS， 证 书 管 理 机 构 必 须 得 可 用 ， 但 
是 ， 如 果 证 书 存储 在 DNS， 那 么 私 钥 必须 得 在 验证 的 时 候 可 用 ， 也 就 是 说 ， 如 果 垃 圾 邮 
件 发 送 者 可 以 访问 这 些 私 铀 ， 那 么 他 们 就 可 以 产生 有 效 的 公 钥 。 另 一 方面 ， 也 要 用 到 主 
要 的 证 书 管理 机 构 (CA)， 但 是 ， 邮 件 是 一 种 分 布 式 系统 ， 没 有 人 希望 所 有 的 邮件 都 由 


如 1 
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单独 的 CA 来 控制 。 一 些 解决 办 法 因此 允许 多 个 CA 系统 ， 比 如 ，X.509 就 会 确定 可 用 的 
CA 服务 器 。 这 种 扩展 性 也 导致 垃圾 邮件 发 送 者 也 可 以 运行 着 私有 的 CA 服务 器 。 
如 果 没 有 证 书 管理 机 构 ， 就 需要 其 他 的 途径 在 发 送 者 和 接收 者 之 间 来 分 发 密 钥 。 比 
如 ，PGP， 就 可 以 预先 共享 公 钥 。 在 未 连接 网 络 或 者 比较 封闭 的 群 组 中 ， 这 种 办 法 是 可 
行 的 ， 但 是 在 大 量 个 体 使 用 的 时 候 ， 就 不 是 太 适合 ， 特 别 是 对 于 需要 建立 新 的 联系 的 情 
况 下 。 从 本 质 上 来 说 ， 预 先 共享 密 铀 有 点 类 似 白 名 单 的 过 滤器 : 只 有 彼此 知道 的 人 才能 
发 送 邮件 。 
但 是 这 些 加 密 解决 方案 还 存在 一 些 缺 点 ， 还 不 能 阻止 垃圾 邮件 ， 主 要 表现 在 以 下 几 
个 方面 。 
口 滥用 自动 化 工具 如 果 在 广大 范围 内 被 应 用 ， 就 需要 有 一 种 办 法 为 所 有 用 户 产 
生 证 书 或 者 密 钥 ( 包括 邮件 服务 器 端 ， 邮 件 客 户 端 )， 系 统 很 可 能 通过 一 种 自动 
化 的 方法 来 提供 密 钥 。 可 是 ， 可 以 相信 垃圾 邮件 发 送 者 也 会 滥用 任何 自动 化 系 
统 ， 并 且 用 来 发 送 经 认证 的 垃圾 邮件 。 

口 可 用 性 问题 比如 ，CA 服务 器 不 可 用 怎么 办 ， 邮 件 被 挂 起 ， 退 票 ， 还 是 依然 可 
用 ? 垃圾 邮件 发 送 者 近来 对 一 半 以 上 的 提供 黑 名 单 网 站 进行 了 拒绝 服务 攻击 ， 
并 导致 这 些 网 站 都 无 法 访问 。 显 然 ， 这 些 垃 圾 邮件 发 送 者 想 阻止 别人 更 新 黑 名 
单 。 对 于 单一 的 CA 服务 器 ， 很 显然 也 无 法 避免 这 样 的 命运 。 

其 实 ， 现 在 很 多 反 垃 圾 邮件 方案 都 不 会 只 单单 采取 一 种 技术 ， 而 是 多 种 多 类 技术 的 
综合 体 。 不 少 国 家 也 在 为 反 垃圾 邮件 进行 立法 ， 以 便 能 够 得 到 法 律 上 的 支持 。 但 从 技术 
上 来 说 ， 这 跟 反 攻击 一 样 ， 是 一 个 正 反 双方 的 博弈 过 程 ， 一 种 新 的 反 垃圾 邮件 技术 必然 
会 出 现 一 种 对 应 得 垃圾 邮件 技术 ， 况 且 ， 任 何 一 种 技术 ， 还 没有 办 法 去 解决 所 有 问题 ， 
技术 的 发 展 也 将 延续 下 去 。 


@ ”10.3.3” 反 垃圾 邮件 典型 案例 


1. Barracuda 反 垃圾 邮件 网 关 简介 


Barracuda 反 垃 圾 邮件 网 关 及 病毒 邮件 防火 墙 是 一 款 专 业 过 滤 垃 圾 邮件 和 病毒 邮件 
的 防火 墙 ， 它 逻辑 上 部 署 在 邮件 服务 器 前 端 ， 对 经 过 的 邮件 进行 12 层 过 滤 ， 帮 助 邮 件 系 
统 抵御 最 新 的 垃圾 邮件 、 病 毒 邮件 、 欺 诈 性 邮件 、 钓 鱼 邮 件 、 间 谍 程 序 邮 件 等 各 类 邮件 
威胁 ， 然 后 将 过 滤 后 的 正常 邮件 发 送 给 邮件 服务 器 ， 达 到 用 户 免 受 垃圾 邮件 、 病 毒 邮件 
侵扰 的 目的 。 其 主要 功能 和 过 滤 模 型 如 图 10-6 和 图 10-7 所 示 。 


2. Barracuda 反 垃圾 邮件 网 关 部 署 


Barracuda 反 垃 圾 邮件 网 关 及 病毒 邮件 防火 墙 支持 旁 路 部 署 模式 ， 安 装 方式 有 两 种 
一 一 MX 记录 转发 安装 方式 (在 DNS 上 添加 新 的 MX 记录 ) 和 端口 转发 安装 方式 (在 企 
业 防 火 墙 上 使 用 NAT 方式 将 25 端口 指向 Barracuda 反 垃 圾 邮件 网 关 )， 以 下 是 以 端口 转 
发 方式 来 安装 Barracuda 反 垃 圾 邮件 网 关 ， 如 图 10-8 所 示 。 
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垃圾 及 病毒 邮件 过 滤 全 局 及 分 用 户 隔离 功能 | 反 退 信 攻 击 
SMTP/TLS 加 密 传输 外 发 邮件 过 滤 功 能 


阻止 欺诈 、 钓 鱼 及 恶意 软件 邮件 | 12 层 过 滤 模 型 


速率 控制 下 信誉 库 ( 含 Barracuda 信誉 防护 》 


用 户 自 定义 策略 垃圾 邮件 指纹 分 析 


贝 叶 斯 分 析 垃圾 邮件 的 规则 评分 
SPF, DomainKeys Emailreg.org 支持 外 部 DNSBL 


Barracuda 实时 病毒 防护 


文件 类 型 阻 断 
10-6 Barracuda 反 垃 圾 邮件 网 关 主 要 功能 
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Incoming Email 


多 企 全 全 
CE CE) 
Barracuda Energize Updates 


10-7 Barracuda 反 垃 圾 邮件 网 关 12 层 过 滤 模 型 


邮件 流 说 明 如 下 。 
未 部 署 Barracuda 反 垃 圾 邮件 网 关 前 : 邮件 一 防火 墙 外 网 出 口 (25 端口 映射 给 邮件 
服务 器 ) 一 邮件 服务 器 。 


部 署 Barracuda 反 垃 圾 邮件 网 关 后 : 邮件 一 防火 墙 (25 端口 映射 给 Barracuda 反 垃 圾 
邮件 网 关 ) 一 Barracuda 反 垃 圾 邮件 网 关 一 邮件 服务 器 。 


入 国人 ------ 一 原始 邮件 


Internet 


过 滤 后 邮件 


反 垃 圾 邮件 网 关 邮件 服务 器 
10-8 ”Barracuda 反 垃圾 邮件 网 关 部 署 方案 (端口 转发 方式 ) 
习题 
, C. 寄生 虫 
一 、 选 择 题 D. 移动 磁盘 
1. 内 容 过 滤 发 生 在 哪 两 个 层次 ? (  ) 二 、 简 答题 
A. 应 用 层 和 物理 层 
B. 应 用 层 和 链 路 层 1. 试 说 明白 名 单 过 滤 与 黑 名 单 过滤 的 区 别 。 
C. 应 用 层 和 网 络 层 2. 内 容 过 滤 发 生 在 哪 两 个 层次 , 分 别 是 如 何 
D. 链 路 层 和 网 络 层 工作 的 ? 
2. 病毒 感染 计算 机 系统 并 进行 传播 的 方式 3. 简 述 病毒 的 种 类 、 感 染 方式 、 传 播 途径 。 
有 多 种 ， 下 列 哪 项 不 属于 此 类 ? (  ) 4. 垃圾 邮件 有 何 危害 ， 该 如 何 防范 ? 
A. 引导 扇 区 5. 反 垃 圾 邮件 都 有 哪些 技术 ， 其 原理 是 
B. 宏 渗透 什么 ? 
1 RY 罗 
课 后 实践 与 思考 
1. 了 解 您 所 在 的 单位 /组 织 是 如 何 应 对 垃圾 邮件 的 ， 其 中 都 运用 了 哪些 反 垃 圾 邮件 


技术 。 
2. 登录 WildList 网 站 了 解 最 新 的 病毒 情况 。 
3. 了 解 当 前 业界 流行 的 防 病毒 反 垃 圾 邮件 技术 及 方案 。 
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4. Barracuda 反 垃圾 邮件 网 关 的 安装 及 配置 ， 参 考 如 下 示范 。 
Barracuda 反 垃圾 邮件 网 关 的 安装 及 配置 示范 
一 、 硬 件 安装 
(1) 将 Barracuda 垃圾 邮件 防火 墙 固定 在 一 个 标准 的 19 英寸 机 架 或 者 其 他 类 似 地 点 。 


{DD U1 
请 勿 遮挡 住 机 器 上 方 的 冷却 通风 口 。 


(2) 将 一 根 cat5 网 线 插 到 Barracuda 垃圾 邮件 防火 墙 背面 网 络 接口 中 。Barracuda 垃 
圾 邮件 防火 墙 支持 10MB 或 100MB 网 卡 ， 推 荐 使 用 100MB 网 络 连接 。 接 上 标准 vga 显 


示 器 及 ps2 键盘 。 
(3) 插 上 电源 线 ， 连 通电 源 。 
(4) 按 下 机 器 面板 上 的 电源 按钮 。 机 器 前 方 电源 指示 灯 将 点 亮 ， 如 图 10-9 所 示 。 
On 
BLOCK WARN EMAIL DISK POWER POWER 
EMAJL EMAJL LIGHT LIGHT LIGHT BUTTON 
LIGHT LIGHT 


10-9 ”电源 指示 灯亮 
(5) Barracuda 垃圾 邮件 防火 墙 前 面板 上 有 5 个 指示 灯 。 含 义 见 表 10-3。 
表 10-3 ”指示 灯 含 义 


指示 灯 名 颜色 说 明 

阻 断 邮件 红 垃圾 邮件 或 者 病毒 邮件 被 阻 断 时 闪烁 
警告 邮件 黄 标记 为 垃圾 邮件 或 者 隔离 时 闪烁 
邮件 绿 设备 收 到 邮件 时 闪烁 

硬盘 绿 硬盘 工作 时 闪烁 

电源 绿 系统 接 通 电源 时 持续 绿灯 


[he 


启动 机 器 和 复位 Barracuda 到 出 厂 设置 。 


(6) reset 按钮 有 两 个 功能 : 
按 reset 按钮 重启 动机 器 。 

按 住 reset 按钮 5 秒 钟 将 把 Barracudaip 地 址 设置 为 192.168.200.200。 
按 住 reset 按钮 8 秒 钟 将 把 Barracudaip 地 址 设置 为 192.168.1.200。 
按 住 reset 按钮 12 秒 钟 将 把 Barracudaip 地 址 设置 为 10.1.1.200。 


口 
口 
口 
口 


二 、 设 置 IP 地 址 


(1) 机 器 启动 好 后 , “barracuda login:” 提 示 显 示 在 显示 器 上 。 
口 输入 登录 名 admin， 密 码 admin， 如 图 10-10 所 示 。 


口 屏幕 将 显示 目前 的 系统 人 配置。 
口 使 用 Tab 键 ,输入 新 的 全 地 址 ， 网 络 掩 码 及 默认 网 关 后 选择 。 


10-10 输入 登录 名 和 密码 


口 如 果 需 要 保存 新 的 IP 请 选择 yes， 不 保存 则 选择 no。 
.Web 基本 设置 


(1) 设 定 系 统 他 地址 后 ， 可 以 从 管理 界面 配置 Barracuda 垃圾 邮件 防火 墙 。 检 查访 
问 的 机 器 与 Barracuda 垃圾 邮件 防火 墙 连接 在 同一 个 网 络 中 ， 可 以 通过 Web 浏览 器 直接 
连接 到 系统 卫 地 址 。 

(2) 打开 一 个 Web 浏览 器 ， 输 入 Barracuda 垃圾 邮件 防火 墙 的 卫 地 址 ， 端 口 为 8000。 

举例 : http://192.168.1.150:8000 

(3) 进入 登录 界面 ， 输 入 用 户 名 admin， 密 码 admin。 

(4) 到 基本 一 IP 设置 页 ， 输 入 所 需 信息 ， 如 图 10-11 所 示 。 


ll 


ms TW nM/ |] 
TCP/IP 设 置 保存 修改 | ?| 
功 地 址 1 .150 TCPMP:  [ 芒 了 基 和 55 项 昌 
子 网 掩 码 5 , 255 , 25 .0 
缺 省 网 关 ; 192 .168. 1 .1 
目标 邮件 服务 器 TCP/IP 配置 保存 修改 | 人 | 
服务 器 名 称 /IP [sz1613 TcpWn 历 GD 
有 效 的 测 荆 邹 件 帐户 bseroi@restcom KSMIP 联 撞 
SR 保存 修改 | 中 
主 DNS 服务 器 [22.% .296.5 
从 CNS 艰 务 器 202 . % .209 . 133 
域 配 置 保存 修改 引 
缺 省 主机 名 Faracuda 克 和 加 于 御 中 使 用 
缺 省 域名 [baracudaneworks com cn pe 全 : 


10-11 了 设置 


口 设置 他 地 址 、 子 网 掩 码 及 默认 网 关 。 

口 输入 目标 邮件 服务 器 的 名 称 或 地 址 ， 输 入 一 个 有 效 的 邮件 账号 测试 一 下 
Barracuda 与 邮件 服务 器 的 连接 。 

口 输入 所 在 网 络 的 DNS 服务 器 名 称 。 

口 输入 Barracuda 垃圾 邮件 防火 墙 的 主机 名 和 域名 。 

口 添加 许可 的 收 件 人 域 , 除 添加 好 的 域 之 外 ,Barracuda 将 拒绝 所 有 其 他 域 的 邮件 。 
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口 设置 完毕 请 单 击 “ 保 存 ” 按 钮 。 注 意 ， 如 果 修 改 了 IP 地 址 ， 将 与 Barracuda 垃 
圾 邮件 防火 墙 断 开 ， 需 要 用 新 的 卫 地 址 登录 。 

(5) 到 基本 一 管理 页 面 进行 以 下 操作 。 

口 给 Barracuda 垃圾 邮件 防火 墙 指定 一 个 新 的 管理 员 密 码 (可 选 )。 

口 确定 当地 的 时 区 选择 正确 。 

口 单 击 “ 保 存 修改 ”按钮 。 

Barracuda 垃圾 邮件 防火 墙 现在 配置 完成 , 准备 过 滤 所 有 收 到 的 邮件 ， 并 将 合法 邮件 
转发 到 你 的 邮件 服务 器 上 。 


四 、 配 置 企业 防火 墙 
(1) 如 果 Barracuda 在 企业 防火 墙 之 后 ， 需 要 开放 如 表 10-4 所 示 的 端口 。 


表 10-4 开放 端口 
端口 方向 协议 使 用 
22 进 Te 远程 检查 及 服务 
25 进 / 出 TCP/UDP 邮件 及 邮件 弹 回 
53 进 /出 TCP/UDP 域名 服务 器 (DNS) 
80 出 TCP/UDP 病毒 、 固 件 、 垃 圾 邮件 规则 库 升 级 
123 进 /出 UDP 网 络 时 间 协 议 (NTP) 
2703 进 /出 TCP/UDP 收 到 的 邮件 指纹 
6277 进 / 出 TCP/UDP 收 到 的 邮件 指纹 


注 : 只 有 在 远程 技术 支持 时 才 需 要 开放 22 端口 。 


(2) 如 果 您 开放 了 相关 端口 ， 您 可 以 立即 升级 Barracuda 到 最 新 的 版 本 。 进 入 高 级 
一 固件 升级 页 中 ， 下 载 新 的 版 本 ， 下 载 完 毕 之 后 再 按 升级 。 这 一 过 程 可 能 需要 几 分 钟 。 


五 、 邮 件 网 关 的 架设 模式 


(1) 有 两 种 方法 : 第 一 种 方法 称 为 “端口 转发 ”的 安装 方式 ， 即 在 防火 墙 上 设置 将 
smtp 流 映 射 到 Barracuda 上 ，Barracuda 过 滤 好 邮件 后 ， 再 将 邮件 转发 到 邮件 服务 器 上 。 
其 二 ， 称 为 “mx 转发 ”模式 ， 即 为 Barracuda 设置 一 条 优先 级 更 高 的 mx 记录 ， 这 样 来 
自 外 网 的 邮件 将 先 发 送 到 Barracuda 上 ，Barracuda 过 滤 好 邮件 后 ， 再 将 邮件 转发 到 邮件 
服务 器 上 。 

图 10-12 是 “端口 转发 ”安装 模式 中 将 SMTP 指向 Barracuda 的 实例 : 邮件 服务 器 
的 下 是 192.168.1.3, Barracuda 的 卫 是 192.168.1.150, 原来 的 211.148.5.101 的 SMTP 是 
映射 到 邮件 服务 器 上 的 ，Barracuda 架设 后 ， 在 防火 墙 上 将 211.148.5.101 的 SMTP 改 为 
映射 到 Barracuda 上 。 

mx 转发 方式 , 需要 在 域名 服务 器 (DNS 服务 器 ) 上 定义 指向 Barracuda 的 mx 记录 。 
用 户 如 果 没有 自己 的 DNS 服务 器 ， 可 向 域名 服务 商 联 系 。 


六 、 邮 件 弹 回 
在 阻 断 垃 圾 邮件 或 病毒 邮件 等 情况 时 ，Barracuda 会 发 送 一 些 弹 回信 件 ， 用 户 可 以 根 


病毒 防范 与 过 滤 技术 


据 自 己 的 情况 选择 是 否 发 送 ， 还 可 以 在 高 级 设置 一 邮件 通知 编辑 中 选择 适当 的 弹 回 邮件 
模版 或 自行 编辑 。 


= 


| 


FE er 于- 可 192.168,1. [50 
Fe | FE [ 可 192.168.1. 已 
ER rn Fo 研习 192.168.1. ps55 
FE er 一 全 习 192.168.1. 忆 | 
ET Fei 习 区 [| 192.168.1. FS55 
FE er 区 本 Eom 192.168.1. 
Fs [Err | 后 三 习 192.168.1. 了 
Fi Fa 一 习 区 研习 192.168.1. 
Per tae [res 可 Fs [ 厨 可 192.168.1. 司 
Pee (sais [ras [EH 应 习 192.168.1. 也 


10-12 SMTP 指向 Barracuda 的 实例 


七 、 邮 件 服务 器 设置 


安装 Barracuda 基本 上 不 需要 更 改 邮件 服务 器 设置 ， 但 希望 用 户 能 关闭 邮件 服务 器 
上 所 有 的 垃圾 过 滤 控 制 ， 以 避免 潜在 的 冲突 。 


八 、 调 整 垃圾 邮件 得 分 


(1) 可 以 到 基础 一 垃圾 邮件 得 分 中 设置 标记 、 隔 离 或 阻 断 得 分 。 阻 断 得 分 越 低 ， 将 
过 滤 更 多 的 垃圾 邮件 ， 但 可 能 导致 误 判 率 增加 。 反 之 则 可 能 导致 过 滤 率 减少 但 误 判 也 减 
少 。 因 此 推荐 使 用 默认 设置 。 

(2) 可 以 设置 两 种 隔离 类 型 : 

G@ 分 用 户 : 发 送 一 份 个 人 化 隔离 报告 到 个 人 邮件 账户 。 此 报告 在 每 天 3:30 分 发 送 ， 
其 中 包含 一 个 系统 链接 ， 用 户 可 以 登录 并 可 以 执行 以 下 操作 。 

口 设置 是 愿意 收 到 主题 行 中 插入 了 隔离 主题 文字 的 邮件 ， 还 是 将 这 些 邮 件 存储 在 

Barracuda 垃圾 邮件 防火 墙 中 ( 默认 设置 )。 
口 是 否 关闭 个 人 邮箱 的 垃圾 邮件 扫描 。 
口 将 发 件 人 邮件 地 址 设置 到 白 名 单 或 黑 名 单 。 

@ 全 局 : 隔离 邮件 被 发 送 到 指定 的 通用 邮件 地 址 。 

九 、 贝 叶 斯 培训 

Barracuda 运行 后 ， 对 其 进行 贝 叶 斯 培训 可 以 提高 过 滤 的 准确 率 。 贝 叶 斯 数据 库 中 垃 
圾 邮件 和 非 垃圾 邮件 都 超过 200 封 后 才能 生效 。 建 议 采 用 如 下 的 方式 进行 培训 ,Barracuda 
运行 一 段 时 间 后 在 基础 一 邮件 日 志 中 ,选择 评分 大 于 7、8 分 邮件 分 类 为 垃圾 邮件 ; 选择 
评分 小 于 1 分 或 2 分 的 邮件 分 类 为 非 垃圾 邮件 。 
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第 1 章 信息 安全 风险 评估 技术 


。 理解 系统 安全 策略 的 作用 

。 掌握 如 何 识别 信息 安全 风险 

。 掌握 信息 安全 威胁 的 分 析 方 法 

。 掌握 系统 漏洞 的 识别 与 评估 

。 了 解 安全 监控 与 审计 

网 络 与 计算 机 技术 的 发 展 推动 了 操作 系统 互 连 互 操 作 的 发 展 ， 系 统 之 间 的 互联 越 来 
越 频繁 ， 互 连 的 程度 越 来 越 高 ， 随 之 伴随 的 安全 问题 也 日 益 严重 。 目 前 很 多 大 型 公司 、 
企业 和 机 构 的 系统 都 构建 在 这 些 互 联 互 操作 的 网 络 之 中 ， 实 现 着 资源 的 共享 。 

每 一 个 系统 都 有 可 能 被 入 侵 。 系 统 被 入 侵 后 ， 系 统 数据 可 能 被 破坏 或 被 窃取 ， 因 此 ， 
必须 对 网 络 上 的 系统 进行 安全 评估 。 有 具体 来 说 即 首先 对 风险 进行 评估 ， 然 后 根据 评估 的 
风险 为 系统 确定 合适 的 安全 措施 和 保护 等 级 。 一 般 评 估 过 程 由 以 下 几 个 部 分 组 成 : 对 系 
统 进行 完整 的 风险 、 威 胁 分 析 ; 制定 合适 的 安全 策略 ， 对 系统 进行 强制 性 的 补丁 安装 和 
安全 升级 。 同 时 ， 系 统 在 与 无 安全 措施 的 终端 进行 资源 共享 时 ， 还 需要 一 个 标准 化 的 规 
程 使 风险 降 到 最 低 。 

需要 以 下 儿 部 分 完成 以 上 任务 。 

(1) 系统 安全 策略 。 

(2) 具体 特定 的 安全 需求 。 

(3) 风险 发 现 及 风险 评估 。 

(4) 脆弱 性 评估 。 

(5) 安全 性 鉴定 。 

(6) 对 漏洞 与 安全 审计 的 监控 。 

安全 是 一 个 持续 的 状态 ， 所 以 确保 安全 也 就 是 一 个 持续 的 过 程 。 首 先 ， 需 要 辨别 系 
统 资源 面临 的 安全 威胁 ， 通 过 对 系统 资源 面临 的 安全 威胁 进行 分 析 来 表示 系统 的 安全 漏 
洞 。 明 确 系 统 安全 漏洞 之 后 就 可 以 明确 系统 具体 的 安全 需求 ， 然 后 据 此 制定 系统 的 安全 
策略 。 安 全 策略 实施 的 同时 ， 需 要 进行 审计 与 监控 。 这 个 环节 会 暴露 很 多 在 策略 制定 过 
程 中 遗漏 的 问题 ， 然 后 对 安全 策略 进行 相应 的 修改 ， 最 后 整个 过 程 头 尾 相 连 ， 形 成 确保 
系统 的 安全 循环 。 


1 系统 安全 策略 


组 织 的 系统 安全 对 系统 管理 员 是 相当 重要 的 。 对 于 任何 系统 来 说 ， 必 须 对 某 些 请 求 
给 予 明确 的 拒绝 ， 这 样 才能 很 好 地 限制 网 络 的 主机 数 、 资 源 和 用 户 的 使 用 权限 ， 从 而 保 
护 系统 的 安全 。 能 够 公平 的 情况 地 完成 以 上 任务 的 方法 就 是 通过 执行 一 系列 的 安全 策略 
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来 告诉 所 有 的 雇员 和 商业 伙伴 ， 在 系统 中 哪些 资源 是 可 用 的 ， 哪 些 是 不 可 用 的 。 安 全 策 
略 也 阐明 了 哪些 资源 需要 被 保护 以 及 怎样 保护 。 本 质 上 来 说 ， 安 全 策略 是 一 系列 用 于 规 
定 与 限制 系统 资源 使 用 和 所 有 用 户 安全 责任 级 别 的 策略 和 进程 。 这 样 一 个 机 制 对 组 织 系 
统 安全 是 必需 的 。 同 时 ， 系 统 安全 策略 也 影响 着 系统 运行 的 其 他 方面 ， 例 如 以 下 两 个 
方面 。 

口 防火 墙 的 设置 、 在 对 一 个 防火 墙 进行 具体 设置 的 时 候 ， 规 则 库 的 设置 必须 参考 


系统 安全 策略 。 
口 用 户 的 使 用 准则 ”在 组 织 中 ， 所 有 与 互联 网 联接 的 用 户 在 通过 防火 墙 时 都 必须 
遵循 安全 策略 。 


安全 策略 涵盖 了 整个 系统 的 方方面面 , 建立 安全 策略 必须 将 不 同 的 组 件 都 考虑 进去 ， 
并 且 将 其 有 机 地 结合 在 一 起 。 首 先 考虑 系统 的 具体 需求 ， 然 后 针对 每 一 个 需求 提出 合适 
的 策略 ， 最 后 将 每 一 个 策略 逐步 融合 在 一 起 ， 最 终 形成 系统 整体 的 安全 策略 ， 而 且 每 一 
个 安全 策略 都 是 唯一 的 ， 只 适用 于 某 个 具体 的 系统 。 

一 个 成 功 的 安全 策略 ， 应 该 具备 以 下 几 个 特性 。 

(1) 能 够 得 最 高 领导 的 支持 。 

(2) 能 够 涉及 组 织 的 整个 角落 和 每 一 个 人 人员， 能够 明确 每 个 角色 在 安全 系统 中 应 负 
的 责任 。 

(3) 在 建立 初期 ， 对 系统 中 要 保护 的 内 容 与 保护 的 原因 都 有 一 个 清晰 的 认识 。 

(4) 对 于 要 保护 的 内 容 ， 能 够 区 别 优先 级 。 

(5) 通过 安全 策略 ， 能 够 使 组 织 中 的 每 一 个 人 员 明 白 要 保护 哪些 内 容 的 安全 ， 为 什 
么 要 保护 和 怎样 保护 等 问题 。 

(6) 设置 一 个 底线 ， 使 用 户 明白 对 于 系统 中 的 资源 ， 哪 些 行 为 是 允许 的 ， 哪 些 是 不 
允许 的 。 

(7) 由 可 信 的 第 三 方 监控 执行 。 

(8) 有 良好 的 可 扩展 性 ， 当 有 新 的 规则 时 能 够 进行 有 效 地 更 改 。 

(9) 能 够 持续 有 效 地 运行 。 

要 到 达到 以 上 的 目标 ， 在 建立 安全 策略 的 初期 就 必须 遵循 以 下 几 个 核心 步骤 。 

(1) 建立 表格 对 各 种 共享 资源 、 网 络 资源 进行 分 类 梳理 。 

(2) 对 列举 出 来 的 资源 ， 分 析 其 所 存在 的 威胁 。 对 每 一 种 威胁 ， 分 析出 相应 的 风险 ， 
建立 一 个 表格 对 威胁 、 风 险 进行 梳理 。 风 险 一 般 有 拒绝 服务 、 信 息 的 更 改 或 者 泄露 、 非 
授权 访问 。 

(3) 对 所 要 保护 的 资源 ， 确 定 保护 的 程度 。 

(4) 创建 策略 小 组 ， 其 中 包括 高 级 管理 层 、 法 制 部 门 、IT 部 门 和 文档 编辑 部 门 的 人 
员 ， 每 个 部 门 至 少 有 一 个 工作 人 员 出 任 小 组 成 员 ， 由 策略 小 组 负责 起 草 安全 策略 。 

(5) 确定 需要 被 审计 的 内 容 。 一 般 来 说 ， 审 计 的 安全 事件 一 般 发 生 在 服务 器 、 防 火 
墙 或 网 络 主机 上 。 所 以 审计 的 对 象 一 般 为 服务 器 、 防 火 墙 或 网 络 主机 的 日 志文 件 ， 资 源 
存 取 记 录 等 。 
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2 系统 安全 要 求 分 析 


系统 安全 要 求 详细 说 明 组 织 中 每 个 用 户 或 系统 资源 的 安全 特性 ， 人 员 与 资源 之 间 由 
一 个 安全 访问 矩阵 连接 起 来 。 这 些 安全 要 求 建立 在 对 目标 系统 详细 了 解 的 基础 上 。 有 了 
对 系统 的 了 解 之 后 再 来 构建 由 核心 安全 需求 组 成 的 基本 架构 ， 然 后 对 每 个 核心 需求 进行 
分 析 ， 确 定 哪些 资源 需要 被 保护 ， 为 达到 安全 要 求 的 目标 需要 采取 哪些 措施 ， 最 后 落实 
措施 。 

对 于 安全 矩阵 来 说 ， 有 两 个 核心 的 实体 一 一 用 户 和 资源 ， 通 过 以 下 步骤 来 确定 安全 
需求 。 

对 于 用 户 : 包含 用 户 姓名 ， 位 置 和 系统 负责 人 的 电话 号 码 ， 同 时 还 要 确定 安全 忠诚 
等 级 ， 人 允许 访问 的 用 户 集 ， 系 统 用 户 的 最 小 权限 。 
对 于 资源 :包含 资源 的 种 类 ， 要 简要 描述 正在 使 用 的 安全 操作 系统 。 如 果 资 源 是 数 
还 应 包括 以 下 内 容 。 
(1) 保密 级 别 : 秘密 、 机 密 、 绝 密 。 
(2) 数据 分 类 : 限制 访问 与 严格 限制 访问 。 
(3) 访问 数据 的 程序 。 
(4) 存 取 数 据 所 必要 的 具体 访问 许可 条 件 。 
(5) 具体 的 操作 说 明 。 
(6) 所 有 用 户 的 最 小 特权 限制 。 


11.3 信息 安全 风险 识别 


为 了 理解 系统 威胁 并 进行 合适 的 处 理 ， 首 先 必须 能 够 准确 地 对 威胁 进行 识别 。 风 险 
识别 是 一 个 过 程 , 用 于 定义 并 指出 资源 所 面临 的 威胁 ,并 将 威胁 按 人 物 或 事件 进行 分 类 。 
这 些 威胁 有 可 能 是 故意 的 , 也 有 可 能 是 非 故意 的 。 如 果 一 个 行为 意图 破坏 客体 的 安全 性 ， 
那么 该 行为 就 称 为 故意 ; 而 还 有 一 种 行为 其 本 身 没 有 破坏 客体 安全 的 意图 ， 但 存在 破坏 
客体 安全 性 的 可 能 性 ， 则 称 之 为 非 故 意 。 威 胁 的 来 源 有 很 多 种 ， 包 括 人 为 因素 、 自 然 灾 
害 、 基 础 架构 故障 等 ， 常 见 的 来 源 有 以 下 几 种 。 


据 


人 为 因素 源 于 人 类 的 感知 观念 和 处 理事 物 能 力 , 其 行为 有 可 能 增加 系统 的 安全 风险 ， 
具体 来 说 有 以 下 具体 因素 。 
口 交流 例如 ， 系 统 用 户 与 人 事 部 门 之 间 的 交流 可 能 导致 对 策略 和 用 户 准 则 理解 
的 偏差 ， 对 专业 术语 理解 的 偏差 等 。 
口 人 机 接口 很 多 用 户 会 磁 到 人 性 化 程度 不 高 的 系统 接口 ， 在 处 理 这 些 系统 接口 
时 ， 如 果 处 理 不 当 可 能 对 系统 安全 产生 一 定 的 威胁 。 
口 数据 设计 、 分 析 与 编码 当 有 多 数 人 在 场 的 时 候 ， 一 定 会 有 可 能 产生 对 数据 与 
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设计 的 曲解 ， 总 会 或 多 或 少 的 造成 设计 失误 。 

口 新 工具 与 新 技术 当 系 统 有 了 一 些 新 的 工具 或 新 的 技术 ， 在 使 用 这 些 工具 、 技 
术 时 ， 总 会 有 一 定 的 风险 。 因 为 这 些 对 于 用 于 都 是 陌生 的 ， 用 户 在 长 期 的 工具 
使 用 中 ， 由 于 有 了 原先 的 惯性 ， 可 能 在 使 用 过 程 中 操作 不 当 而 导致 严重 的 后 果 。 

口 工作 负担 很 多 系统 的 用 户 已 经 成 为 了 工作 负担 的 受害 者 ， 如 果 这 些 问题 不 受 
重视 的 话 ， 就 会 转变 成 对 系统 的 威胁 。 

口 工作 环境 工作 环境 能 够 在 很 大 程度 上 影响 一 个 人 的 心理 ， 感 知 的 敏感 度 ， 判 
断 和 忍耐 能 力 。 而 影响 工作 环境 的 因素 主要 包括 灯光 、 品 音 、 工 作 站 的 位 置 和 
空间 架构 。 

口 训练 客观 来 说 ， 系 统 内 的 用 户 均 受 过 安全 训练 会 对 系统 安全 性 起 到 很 有 效 的 
作用 ， 因 为 受过 安全 训练 的 用 户 能 够 更 加 安全 地 使 用 系统 内 的 设备 与 技术 。 


@ -11.3.2 ”自然 灾害 -- 

自然 灾害 导致 安全 威胁 的 因素 有 很 多 ， 常 见 的 有 地 震 、 火 灾 、 洪 水 、 台 风 、 龙 卷 风 、 
雷电 等 。 尽 管 目前 无 法 准确 地 预测 这 些 自然 灾害 ， 但 人 们 能 够 提前 做 出 准备 。 同 样 的 ， 
人 们 也 有 很 多 方式 应 付 这 些 自然 灾害 ， 例 如 异地 备份 ， 可 以 在 系统 收 到 损害 时 短 时 间 内 
进行 数据 恢复 。 


@ -11.3.3 ”基础 架构 故障 -- 

基础 性 架构 是 系统 运行 的 基础 ， 主 要 包括 硬件 、 软 件 与 管理 人 员 3 个 方面 ， 三 者 正 
常 的 运转 缺 一 不 可 。 此 外 ， 三 者 的 每 一 个 环节 也 很 容易 出 现 错 ， 所 以 基础 架构 故障 属于 
系统 安全 风险 的 主要 部 分 ， 具 体 表 现在 硬件 故障 、 软 件 故 障 和 人 员 管 理 问题 这 三 方面 。 


1. 硬件 故障 


经 过 长 时 间 的 发 展 ， 计 算 机 的 可 靠 性 与 原来 相 比 已 经 有 了 很 大 的 提升 ， 但 硬件 故障 
还 是 时 有 发 生 ， 这 是 因为 硬件 在 长 期 的 使 用 中 会 有 磨损 。 对 于 硬件 来 讲 ， 温 度 过 高 、 湿 
度 过 湿 或 者 灰尘 过 多 都 是 不 适宜 的 ， 这 容易 导致 硬件 故障 。 对 于 人 硬件 故障 ， 有 很 多 方法 
来 应 付 ， 包 括 元 余 ， 也 就 是 说 总 会 有 一 个 备用 的 系统 在 准备 着 ， 当 一 个 系统 突然 出 现 硬 
件 故障 而 停止 工作 时 ， 备 用 的 系统 就 会 马上 运行 保证 服务 的 持续 性 。 还 有 一 个 方法 就 是 
设置 一 个 监控 系统 ， 两 个 或 多 个 硬件 单位 持续 地 相互 监控 ， 当 检测 到 其 中 一 个 发 生 故 障 
了 ， 就 第 一 时 间 报 告 。 另 外, 硬件 技术 的 进步 已 经 也 推进 了 硬件 单元 的 恢复 技术 的 发 展 ， 
如 果 一 个 组 件 有 发 生 故 障 的 迹象 ， 那 么 就 会 在 第 一 时 间 使 组 件 停止 工作 ， 然 后 将 其 负担 
的 计算 工作 重新 分 配 到 其 他 组 件 中 ， 并 且 将 故障 报告 发 送 给 系统 中 其 他 组 件 。 


2. 软件 故障 


目前 普遍 认为 ， 最 严重 的 安全 威胁 来 自 于 软件 故障 。 计 算 机 历史 上 不 乏 失 败 的 软件 
项 目 和 软件 故障 导致 重大 灾难 的 例子 ， 如 千年 念 慌 。 软 件 发 生 运行 错误 有 不 同 的 原因 ， 
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有 些 很 明显 是 人 为 的 错误 、 软 件 自身 的 错误 或 者 软件 运行 环境 的 不 兼容 性 。 
不 管 是 软件 专家 还 是 非 专家 都 明白 硬件 设计 与 软件 工程 是 不 同 的 ， 这 些 不 同 也 导致 
了 软件 的 运行 故障 。 

口 复杂 性 不 同 于 硬件 设计 中 易于 演示 输入 时 序 排 列 的 所 有 可 能 ， 软 件 设计 中 即 
使 相同 的 输入 也 可 能 导致 数 亿 种 不 同 的 可 能 输出 。 所 以 ， 在 软件 设计 中 不 可 能 
演示 出 所 有 输出 。 

口 测试 困难 ”一段 代码 可 能 会 存在 很 多 漏洞 ， 但 在 测试 阶段 同样 不 可 能 将 所 有 的 
漏洞 都 测试 出 来 。 

口 框架 基础 设计 的 误区 对 于 基础 设计 的 误区 会 影响 到 以 后 的 设计 阶段 ， 包 括 纺 
码 、 记 录 和 测试 ， 这 也 导致 了 软件 的 主要 组 件 架构 不 当 ， 对 程序 中 组 件 不 合适 
的 或 容易 引起 歧义 的 说 明 等 问题 。 

口 软件 升级 作为 软件 发 展 的 一 个 惯例 ， 软 件 会 通过 加 入 一 些 新 的 功能 或 者 移 除 
一 些 漏洞 来 进行 更 新 换代 ， 但 这 样 更 新 也 会 引起 一 些 故障 ， 因 为 有 时 新 旧版 本 
的 编写 者 不 同 可 能 会 导致 程序 的 设计 风格 不 同 ， 使 用 的 模块 不 同 ， 也 可 能 有 不 
同 的 接口 ， 这 些 不 同 带 来 的 差异 可 能 会 被 一 些 黑客 所 利用 。 

口 “管理 部 门 ”很 多 组 织 管理 部 门 会 有 频繁 的 变动 。 当 一 个 新 的 管理 者 到 来 时 ， 会 
关注 一 些 与 以 往 不 同 的 地 方 ， 一 些 新 的 主管 可 能 会 需要 一 些 新 的 变化 ， 为 了 适 
应 这 些 新 的 变化 ， 就 会 影响 到 组 织 所 使 用 的 软件 。 由 于 时 间 与 支出 的 成 本 问题 ， 
很 多 时 候 改变 都 是 发 生 在 组 织 内 部 。 这 些 改变 可 能 会 导致 一 些 新 的 漏洞 、 缺 陷 
或 出 现 一 些 潜在 性 的 威胁 。 


3， 人员 管理 问题 


人 的 因素 在 计算 机 系统 中 是 很 重要 的 , 并 且 在 系统 安全 中 也 扮演 着 至 关 重 要 的 角色 。 
在 硬件 系统 中 ， 很 多 时 候 对 某 个 输入 来 说 ， 该 硬件 组 件 的 输出 是 可 以 被 预测 的 ， 当 然 很 
多 软件 的 漏洞 也 是 可 以 被 发 现 并 且 及 时 弥补 的 。 但 人 的 因素 在 计算 机 系统 中 就 是 不 可 预 
测 的 , 并 且 也 是 不 可 靠 的 。 人 员 管 理 问 题 一 直 是 计算 机 安全 系统 中 一 个 主要 的 安全 威胁 。 
很 多 影响 计算 机 安全 系统 的 恶意 行为 都 是 由 用 户 发 动 的 ， 这 些 恶 意 行为 主要 有 非法 入 侵 
系统 ， 或 制造 能 够 威胁 系统 安全 的 软件 。 


型 信息 安全 威胁 分 析 


拥有 大 量 资源 的 信息 系统 往往 是 安全 威胁 的 目标 。 这 些 系 统 拥 有 多 于 其 他 系统 的 价 
值 同时 ， 也 存在 着 大 量 的 安全 漏洞 ， 从 而 也 更 容易 吸引 入 侵 者 。 所 谓 信 息 安 全 威胁 分 析 
就 是 辨别 资源 中 漏洞 的 技术 ， 通 过 持续 的 检测 过 程 并 评估 系统 安全 ， 然 后 通过 这 些 得 到 
的 信息 来 对 系统 进行 安全 优化 。 

安全 威胁 分 析 的 过 程 包括 以 下 步 又。 

(1) 确定 这 些 具 有 较 高 价值 的 资源 ， 并 进行 等 级 划分 。 

(2) 确定 这 些 资源 面临 的 威胁 和 威胁 来 源 。 

(3) 为 每 一 个 已 选择 的 资源 标识 出 已 知 的 漏洞 ， 相 对 而 言 ， 已 知 的 漏洞 比 该 资源 独 
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有 的 安全 漏洞 更 需要 对 付 。 
(4) 标识 出 应 付 这 些 漏洞 所 必须 的 安全 机 制 。 
(5) 通过 对 这 些 资源 的 安全 处 理 从 而 加 强 整个 系统 的 安全 。 


3 信息 安全 威胁 分 析 方 法 


目前 有 多 种 方法 进行 安全 威胁 分 析 ， 这 些 方法 一 般 分 为 两 类 : 通过 计算 年 预期 亏损 
量 进行 威胁 分 析 和 通过 攻击 树 进行 威胁 分 析 两 种 。 


1. 通过 定量 分 析 方 法 进行 威胁 分 析 


在 介绍 年 预期 亏损 量 (Annual Loss Expectancy) 前 ， 先 定义 计算 预期 亏损 量 是 什么 。 
鉴于 一 个 资源 被 认定 为 拥有 很 高 的 威胁 风险 ， 那 么 当 该 资源 被 攻击 后 ， 用 于 替换 该 资源 
或 恢复 该 资源 所 消耗 的 支出 称 之 为 单一 预期 亏损 。 威 胁 风险 就 是 资源 的 漏洞 ， 通 过 统计 
以 往 的 被 攻击 的 次 数 就 可 以 计算 出 该 资源 年 预期 被 攻击 概率 。 

定量 分 析 方 法 就 是 利用 了 这 两 个 基本 元 素 ， 理 论 上 可 以 依据 其 结果 计算 威胁 事件 的 
风险 等 级 ， 并 做 出 相应 的 决策 。 这 两 个 数据 就 可 以 用 于 计算 年 预期 亏损 量 ， 具 体 的 公式 
如 下 

年 预期 亏损 量 = 单一 预期 亏损 x 年 预期 被 攻击 概率 

定量 风险 方法 要 求 关注 的 是 量化 的 数据 ， 结 果 虽 然 很 直观 ， 但 这 样 不 能 保证 数据 的 
完整 和 可 靠 。 总 的 来 说 , 信息 安全 事件 的 历史 数据 不 多 ,构建 相关 的 经 验 模型 存在 困难 ， 
有 些 威 胁 不 存在 频率 数据 ， 从 而 很 难 准确 地 把 握 事 件 的 影响 和 概率 。 


2. Schneier 攻击 树 方法 


Schneier 通过 使 用 攻击 树 的 模型 来 进行 风险 分 析 。 攻 击 树 就 是 虚拟 地 显示 可 能 对 目 
标 造成 的 攻击 ， 攻 击 树 的 根 节点 就 是 攻击 的 最 终日 的 ， 其 他 的 节点 就 是 攻击 为 了 达到 最 
终 的 目的 而 必须 实行 的 子 步骤 。 

攻击 树 是 根据 攻击 的 目的 添加 必要 的 子 目标 而 成 长 的 ， 这 一 步 是 确定 被 检查 的 攻击 
的 细节 和 复杂 程度 。 如 果 攻 击 者 必须 通过 完成 这 几 个 子 目 标 才能 达成 最 终 的 目标 ， 那 么 
如 果 在 攻击 树 中 从 叶子 节点 到 根 节点 的 路 径 越 长 ， 说 明 攻击 的 复杂 度 越 高 。 

每 一 个 叶子 和 相应 的 子 目 标 都 会 附加 一 个 相应 的 支出 权 值 ， 这 样 可 以 显示 出 达到 该 
目标 所 需要 花费 的 资源 ， 最 经 济 的 路 径 就 是 最 有 可 能 出 现 攻 击 的 路 径 ， 其 威胁 也 是 最 


大 的 。 
9 系统 漏洞 识别 与 评估 


在 系统 中 一 个 安全 漏洞 可 能 在 安全 的 环境 中 导致 一 个 安全 威胁 ， 这 种 情况 可 能 演变 
成 系统 缺乏 安全 规程 和 物理 安全 控制 。 尽 管 安全 漏洞 很 难 被 预测 ， 但 安全 漏洞 的 存在 一 
定 会 导致 系统 的 不 安全 性 。 因 此 ， 为 了 保护 计算 机 系统 ， 人 们 需要 对 系统 的 漏洞 进行 识 
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别 并 评估 其 危险 性 。 人 们 也 很 难 在 安全 事件 发 生前 就 能 很 好 地 识别 所 有 的 系统 漏洞 。 很 
多 时 候 ， 只 有 安全 事件 发 生 以 后 ， 才 能 通过 该 安全 事件 发 现 系统 的 漏洞 。 对 系统 漏洞 的 
查找 必须 面向 硬件 、 软 件 。 值 得 注意 的 是 ， 系 统 漏洞 同样 存在 于 系统 的 安全 策略 和 安全 
规程 之 中 。 


全 -1116:1 硬件 系统 漏洞 :- - 


便 件 方面 不 属于 系统 漏洞 的 主要 方面 , 目前 很 多 硬件 的 漏洞 都 属于 设计 、 嵌入 程序 、 
系统 汇编 等 方面 的 漏洞 。 现 代 计 算 机 与 通信 系统 运行 着 大 量 的 嵌入 式 程 序 ， 这 些 程序 控 
制 着 硬件 组 件 的 大 多 数 功能 ， 当 这 些 控制 程序 出 现 故 障 时 ， 硬 件 也 会 随 之 出 现 不 同 程度 
的 异常 ， 所 以 一 般 而 言 ， 硬 件 漏洞 很 多 时 候 还 是 属于 软件 漏洞 ， 所 以 本 节 的 讨论 重点 以 
软件 漏洞 为 主 。 

-IT16:2 一 软件 系统 漏洞 

多 年 以 来 ， 在 计算 机 软件 中 已 经 发 现 了 不 计 其 数 能 够 削弱 安全 性 的 软件 漏洞 ， 这 给 
运行 软件 的 系统 带 来 巨大 的 安全 隐患 ， 黑 客 们 完全 可 以 利用 某 些 软件 漏洞 做 任何 他 们 想 
做 的 事情 。 据 统计 ， 大 多 数 IT 安全 事件 (如 网 络 攻 击 ) 都 与 软件 漏洞 有 关 。 软 件 漏洞 主 
要 指 系统 软件 、 应 用 软件 和 控制 软件 上 的 漏洞 。 

1， 系 统 软件 


系统 软件 是 指 用 于 实现 系统 功能 的 软件 ， 这 些 软 件 属于 计算 机 系统 中 的 核心 软件 。 
操作 系统 中 的 漏洞 比 一 般 的 软件 漏洞 要 严重 得 多 。 入 侵 者 可 以 利用 这 些 系 统 软件 漏洞 入 
侵 电 脑 。 目 前 大 部 分 主流 操作 系统 都 存在 着 大 量 的 系统 漏洞 ， 这 是 因为 系统 软件 升级 或 
者 添加 更 多 系统 功能 时 ， 由 于 对 系统 软件 复杂 度 了 解 不 够 ， 导 致 了 漏洞 的 出 现 。 总 体 来 
说 ， 越 是 主流 的 操作 系统 ， 如 UNIX、Linux、MacOS、Windows 等 ， 越 容易 成 为 入 侵 者 
的 目标 ， 因 此 这 些 系统 的 使 用 率 导 致 了 漏洞 被 发 现 的 概率 很 高 。 

2. 应 用 软件 


可 以 这 么 说 ， 目 前 绝 大 多 数 的 漏洞 都 是 来 源 于 应 用 软件 ， 原 因 有 以 下 几 点 。 

(1) 相对 系统 软件 ， 编 写 应 用 程序 的 门槛 比较 低 ， 目 前 大 部 分 的 应 用 软件 都 是 一 些 
没有 受过 系统 培训 的 人 编写 的 。 

(2) 很 多 应 用 软件 在 完全 没有 做 过 测试 的 情况 下 就 进入 市 场 ， 造 成 了 潜在 的 安全 
威胁 。 

(3) 因为 很 多 软件 的 编写 都 目的 性 很 强 ， 很 多 系统 管理 者 和 安全 管理 者 在 程序 的 编 
写 过 程 中 没有 起 到 应 有 的 作用 ， 这 样 会 在 接口 的 扩展 性 和 兼容 性 方面 考虑 不 周 ， 这 些 软 
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件 的 漏洞 可 能 会 对 系统 的 安全 造成 影响 。 
(4) 软件 用 了 很 长 时 间 后 ，API 和 安全 工具 的 发 展 也 会 对 软件 造成 安全 威胁 。 重 用 
软件 的 普遍 使 用 ， 从 其 他 软件 程序 中 挖 取代 码 模 板 等 也 很 可 能 造成 软件 漏洞 。 


3. 控制 软件 


控制 软件 一 般 为 通信 协议 或 者 硬件 的 驱动 程序 。 通 信 控 制程 序 处 于 数码 模拟 设备 的 
核心 程序 集中 ， 这 些 程序 中 的 漏洞 都 会 导致 网 络 通 信 中 的 数据 泄漏 。 事 实 上 ， 主 流 的 通 
信 协 议 集 的 开放 式 架构 策略 中 都 存在 着 一 些 漏洞 ， 目 前 存在 的 网 络 攻 击 都 是 由 于 这 些 漏 
洞 所 引起 的 。 即 便 这 些 漏洞 被 识别 ， 要 被 修补 的 难度 还 是 很 大 的 ， 原 因 如 下 。 

(1) 在 某 些 地 方 修补 已 发 现 的 漏洞 的 支出 很 大 ,因为 这 些 地 方 缺 乏 相关 的 知识 经 验 。 

(2) 尽管 有 些 漏洞 在 发 现 以 后 马上 就 会 有 相关 的 补丁 发 布 ， 但 很 多 情况 下 ， 补 丁 的 
速度 跟 不 上 发 现 漏洞 的 速度 ， 导 致 目前 很 多 网 络 攻击 都 是 利用 已 经 被 发 现 的 漏洞 。 

(3) 因为 整个 网 络 架构 是 开放 式 的 ， 所 以 很 多 新 的 组 件 可 以 有 目的 性 地 添加 进入 架 
构 中 ， 其 兼容 性 有 待 完善 。 


4. 策略 、 规 程 和 实践 


系统 安全 的 起 点 是 安全 策略 和 一 系列 的 安全 规程 。 安 全 策略 用 于 描述 系统 中 用 户 必 
须 遵 守 的 规范 ， 其 在 系统 安全 中 起 到 基础 性 的 作用 ， 而 规程 从 另 一 方面 也 阐述 了 怎样 在 
系统 中 具体 地 执行 安全 策略 ; 实践 就 是 日 复 一 日 地 去 执行 规程 。 除 安全 策略 和 规程 之 外 ， 
安全 意识 也 应 该 在 系统 安全 中 体现 出 来 。 在 考察 组 织 安全 策略 和 规程 是 否 有 效 时 ， 其 效 
果 必 须 以 通过 与 同类 行业 对 比 的 形式 体现 出 来 。 


11.7 安全 监控 与 审计 


安全 监控 是 系统 安全 认证 中 一 个 重要 的 步骤 ， 为 了 保证 持续 性 的 安全 监控 ， 控 制程 
序 必 须 放 在 安全 系统 之 中 。 安 全 部 门人 员 和 管理 人 员 通 过 这 些 控制 程序 来 决定 是 否 需要 
添加 或 删 减 一 些 步 又 来 加 强 系统 的 安全 性 。 一 般 来 说 ， 监 控 系 统 负责 做 出 入 侵 和 异常 报 
告 ， 帮 助 安全 人 员 迅 速 确定 系统 的 安全 状况 ， 如 果 系 统 即 将 或 已 经 受到 损害 ， 安 全 人 员 
要 确定 采取 何 种 补救 措施 。 

尽管 监控 的 目标 是 由 安全 管理 决定 ， 但 具体 来 说 ， 哪 些 地 方 需要 被 监控 ， 哪 些 信息 
的 日 志 需 要 记录 ， 这 些 都 是 由 管理 员 或 安全 管理 员 决 定 的 。 当 然 安全 管理 员 也 可 以 决定 
在 报告 中 哪些 细节 需要 被 记录 才能 更 好 地 理解 整个 系统 的 安全 状态 。 报 告 中 记录 的 日 志 
太 多 或 太 少 都 会 对 随后 的 分 析 造 成 影响 。 


1. 监控 工具 种 类 


目前 ， 有 多 种 工具 可 用 于 监控 系统 的 状态 ， 一 旦 选取 了 一 种 监控 工具 ， 并 安装 在 系 
统 中 ， 其 就 可 以 收集 能 够 推断 出 系统 状态 的 核心 信息 ， 并 对 其 进行 分 析 ， 并 直观 地 表现 
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出 来 。 在 很 多 系统 中 ， 大 多 数 操作 系统 ， 如 Windows、UNIX、Linux， 监 控 器 可 以 在 事 
件 发 生 后 及 时 向 系统 管理 员 报 警 。 
市 面 上 有 大 量 的 监控 工具 可 以 使 用 ， 一 般 都 是 按 以 下 不 同 用 途 和 需求 进行 分 类 。 
(1) 系统 性 能 : 此 分 类 中 的 监控 工具 用 于 主流 操作 系统 性 能 的 日 志 记录 。 
(2) 网 络 安全 : 主要 记录 了 所 有 入 侵 检测 系统 ,防火 墙 等 网 络 安全 设备 的 事件 日 志 。 
(3) 网 络 性 能 和 诊断 : 该 类 的 监控 器 主要 用 于 监控 所 有 网 络 行为 。 
(4) 网 络 连接 : 用 于 监控 网 络 的 连接 状态 。 
(5) 动态 卫 和 DNS 记录 。 
(6) 远程 操作 与 文件 共享 事件 记录 。 
(7) 文件 传输 工具 。 


2. 监控 工具 的 功能 


目前 监控 工具 一 般 负 责 监 控 、 数 据 收 集 、 信 息 分 析 和 审计 等 方面 。 

口 数据 收集 因为 系统 运行 过 程 中 会 有 大 量 的 事件 产生 ， 所 以 要 在 大 量 的 事件 中 
选择 合适 的 事件 进行 监控 尤其 重要 。 很 多 事件 日 志 记录 器 会 根据 相关 的 条 件 事 
先进 行 相关 设置 。 例 如 ， 工 作 站 和 服务 器 ， 监 控 系 统 就 会 对 CPU 的 性 能 、 内 存 
的 使 用 、 硬 盘 的 使 用 、 应 用 程序 、DNS 服务 器 、 目 录 服 务 器 等 进行 有 效 监 控 。 
另外 监控 器 同样 会 接受 其 他 系统 中 的 系统 日 志 ， 如 与 其 连接 的 服务 器 、 防 火 墙 、 
路 由 器 等 。 在 网 络 环境 中 ， 日 志 记 录 器 会 通过 预先 设置 的 准则 对 系统 用 户 或 系 
统管 理 员 实时 生成 报告 。 

口 信息 分 析 系统 监控 器 的 目的 是 捕获 系统 关键 数据 并 进行 分 析 ， 分 析出 有 用 信 
息 后 在 合适 的 时 间 呈 现 给 系统 用 户 。 所 以 在 用 户 得 到 该 数据 前 ， 日 志 数 据 必 须 
重新 编排 并 转化 成 用 户 可 以 使 用 的 格式 。 

口 审计 审计 是 计算 机 系统 安全 评估 的 重要 工具 。 与 系统 监控 不 同 ， 审 计 不 是 持 
续 性 的 ， 但 其 需要 的 成 本 和 时 间 支 出 更 大 。 和 监控 一 样 ， 审 计 也 是 预先 设置 一 
些 准则 ， 然 后 在 事件 发 生 后 关注 系统 的 变化 。 准 则 的 选取 应 该 以 能 辨别 出 系统 
安全 是 否 受 损 为 标准 。 

一 个 完整 全 面 的 审计 应 该 包含 以 下 几 个 步骤 @ 审 阅 系统 起 始 状态 下 所 有 的 系统 数 

据 ， 审阅 所 有 已 识别 的 安全 威胁 ;@ 选 择 审计 的 频率 ， 以 日 、 周 或 月 为 单位 ，@ 审 阅 
所 有 的 系统 行为 ， 确 保 其 没有 违背 系统 准则 。 


3 安全 评估 工具 使 用 


本 章 介 绍 一 款 免 费用 于 安全 评估 的 工具 Microsoft Security Assessment Tool。 其 是 
原 Microsoft Security Risk Self-Assessment Tool (MSRSAT) 的 修订 版 本 ， 于 2004 年 发 行 面 
世 ， 而 Microsoft Security Assessment Tool 2.0 在 2006 年 发 行 面世 。 该 工具 采用 监视 涵盖 
人 员 、 进 程 和 技术 等 内 容 的 整体 方法 来 测量 系统 的 安全 状态 。 以 上 为 MSAT 软件 的 官 
方 介绍 ， 这 里 将 对 其 进行 一 些 简单 的 使 用 演示 。 
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首先 在 www.microsoft.com 网 站 上 搜索 Microsoft Security Assessment Tool 4.0 即 可 找 
到 相关 信息 ， 然 后 将 对 应 的 软件 下 载 下 来 ， 根 据 相 关 步 骤 进 行 安装 ， 安 装 成 功 后 进入 
程序 。 

(1) 进入 程序 后 ， 由 于 没有 配置 文件 ， 所 以 程序 会 提醒 创建 一 个 新 的 配置 文件 ， 如 
图 11-1 所 示 。 


萌 创 建新 配置 文件 x| 
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图 11-1 创建 新 配置 文件 
(2) 配置 文件 创建 完成 后 ， 会 出 现 一 系列 的 表单 待 填写 ， 这 是 对 系统 整体 的 认识 ， 
依次 填写 表单 完成 后 ， 出 现 “ 创 建新 评估 ”按钮 ， 如 图 11-2 所 示 。 


图 11-2 创建 新 评估 


(3) 单 击 “ 创 建新 评估 ”按钮 ， 又 会 出 现 一 系列 表单 供 填写 ， 这 些 分 别 对 基础 架构 、 
应 用 程序 、 运 作 、 人 员 等 方面 进行 更 细致 的 描述 ， 如 图 11-3 所 示 。 

(4) 填写 完成 后 ， 会 出 现 “报表 ”按钮 ， 如 图 11-4 所 示 。 

(5) 单 击 “ 报 表 ” 按 钮 ， 就 会 出 现 与 系统 安全 相关 的 信息 ， 如 图 11-5 所 示 。 
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图 11-4 报表 按钮 


Microsoft Security Assessment Tool 
移 z5 -Bio2s 
业务 风险 配置 文件 与 纵深 防御 指数 汇总 报表 


= 
sr 


图 11-5 报表 信息 


该 程序 在 完整 报告 中 也 说 明了 设计 Microsoft Security Assessment Tool 的 目的 是 帮 
助 用 户 确定 计算 基础 架构 所 面临 的 风险 级 别 以 及 应 对 风险 已 采取 的 步骤 ， 并 提供 一 些 相 
关 建 议 ， 但 值得 一 提 的 是 ， 其 不 能 代替 由 专业 的 安全 咨询 顾问 执行 的 审计 。 


司 国 = 一 一 一 + 
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信息 安全 风险 评估 技术 2 
习题 
i B. Schneier 
一 、 选 择 题 Hl 
1. 可 以 导致 软件 运行 故障 的 因素 不 包括 下 D. Security Assessment 
列 哪 一 项 ? ) 二 、 简 答题 
A. 复杂 性 
B. 健壮 性 1. 为 什么 要 对 系统 进行 安全 风险 评估 , 其 基 
C. 测试 困难 本 过 程 是 什么 ? 
D. 软件 升级 2. 什么 是 系统 安全 策略 ， 其 作用 是 什么 ? 
2. 信息 安全 威胁 分 析 法 中 , 通过 使 用 一 种 什 3. 为 什么 人 们 普遍 认为 最 大 的 安全 威胁 就 
么 样 的 模型 来 进行 风险 分 析 的 计算 ? (  ) 来 自 于 软件 故障 ? 
A. MD5 4. 安全 威胁 分 析 有 哪些 常见 方法 ? 
1 RY 
课 后 实践 与 思考 
了 解 美国 信息 安全 风险 评估 工作 流程 
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通过 参考 NIST SP800 系列 标准 关于 信息 安全 风险 评估 的 阐述 ， 以 下 列举 了 美国 政 
府 在 实施 风险 评估 和 风险 控制 时 的 一 般 流程 ， 具 有 普遍 性 ， 但 并 不 意味 着 这 是 固定 不 变 
的 方法 。 
1. 描述 体系 特征 


在 对 信息 系统 的 风险 进行 评估 中 ， 第 一 步 是 定义 工作 范围 。 在 该 步 中 ， 要 确定 信息 
系统 的 边界 以 及 组 成 系统 的 资源 和 信息 。 对 信息 系统 的 特征 进行 描述 后 便 确立 了 风险 评 
估 工 作 的 范围 ， 刻 画 了 对 系统 进行 授权 运行 (或 认可 ) 的 边界 ， 并 为 风险 定义 提供 了 必 
要 的 信息 (如 硬件 、 软 件 、 系 统 连通 性 、 负 责 部 门 或 支持 人 员 )。 

本 案例 所 描述 的 方法 学 可 运用 于 对 单个 或 多 个 相关 联系 统 的 评估 。 在 评估 多 个 关联 
系统 时 ， 要 在 运用 这 些 方 法 学 之 前 就 定义 好 所 关心 的 域 、 全 部 接口 及 依赖 关系 。 

(1) 统计 系统 相关 信息 

识别 信息 系统 风险 时 ， 要 求 对 系统 的 运行 环境 有 着 非常 深入 的 理解 。 因 此 从 事 风 险 
评估 的 人 员 必 须 首先 收集 系统 相关 信息 ， 通 常 这 些 信 息 分 为 如 下 几 类 。 

口 硬件 

口 软件 

口 系统 接口 (如 内 部 和 外 部 连接 ) 
口 数据 和 信息 
口 
口 


信息 系统 的 支持 和 使 用 人 员 
系统 使 命 (例如 信息 系统 实施 的 处 理 过 程 ) 
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Ey 
口 
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系统 和 数据 的 关键 性 (例如 系统 对 于 单位 的 价值 或 重要 性 ) 
系统 和 数据 的 敏感 性 


与 信息 系统 及 其 数据 的 运行 环境 相关 的 其 他 信息 还 包括 (但 不 限于 ) 以 下 信息 。 


口 
口 


COODOOOO DO 


信息 系统 的 功能 需求 


系统 的 用 户 ( 例如 为 信息 系统 提供 技术 支持 的 系统 用 户 ， 使 用 信息 系统 完成 业 
务 功能 的 应 用 用 户 等 ) 

信息 系统 的 系统 安全 策略 (机 构 策略 、 政 府 要 求 、 法 律 、 行 业 惯 例 等 ) 

系统 安全 体系 结构 

当前 的 网 络 拓扑 ( 例如 网 络 图 示 ) 

信息 系统 中 的 信息 流 ( 例如 系统 接口 、 系 统 输 入 和 输出 的 流程 图 ) 
信息 系统 的 安全 措施 

信息 系统 的 物理 安全 环境 ( 例如 设施 安全 、 数 据 中 心 策略 等 ) 

针对 信息 系统 处 理 环境 而 实现 的 环境 安全 ( 例如 对 湿度 、 水 、 电 、 污 染 、 温 度 


和 化 学 物品 的 控制 ) 


对 于 处 在 启动 或 规划 阶段 的 系统 ， 系 统 信息 可 以 从 设计 或 需求 文档 中 获得 。 对 于 处 
于 开发 阶段 的 系统 ， 有 必要 为 未 来 的 信息 系统 定义 关键 的 安全 规则 和 属性 。 系 统 设计 文 
档 和 系统 安全 计划 可 以 为 开发 阶段 的 信息 系统 提供 有 用 的 安全 信息 。 

对 于 运行 中 的 信息 系统 ， 要 从 其 运行 环境 中 收集 信息 系统 的 数据 ， 包 括 系 统 配置 、 
连接 、 流 程 方面 的 数据 。 

(2) 信息 收集 技术 

可 以 使 用 下 列 一 项 或 多 项 技术 在 其 运行 边界 内 获取 相关 的 系统 信息 。 


口 


调查 问卷 ”要 收集 相关 信息 ， 风 险 评 估 人 员 可 以 设计 一 套 关于 信息 系统 中 的 安 
全 措施 的 调查 问卷 。 可 将 这 套 调 查 问 卷发 给 信息 系统 的 管理 和 使 用 人 员 。 调 查 
问卷 也 可 以 在 现场 参观 和 面谈 时 使 用 。 

现场 面谈 ”和 信息 系统 的 管理 或 使 用 人 员 面谈 有 助 于 风险 评估 人 员 收 集 有 用 的 
系统 信息 (例如 系统 是 如 何 运 行 和 管理 的 )。 现 场 参观 也 能 让 风险 评估 人 员 观 察 
并 收集 到 信息 系统 在 物理 、 环 境 和 运行 方面 的 信息 。 

文档 审查 ”政策 文档 ( 例如 法 律 文档 、 规 章 等 )、 系 统 文档 ( 例如 系统 用 户 指南 、 
系统 管理 员 手 册 、 系 统 设计 和 需求 文档 等 )、 安 全 相关 的 文档 ( 例如 以 前 的 审计 
报告 、 风 险 评估 报告 、 系 统 测试 结果 、 系 统 安 全 计划 、 安 全 策略 等 ) 可 以 提供 
关于 信息 系统 的 安全 措施 方面 的 有 用 信息 。 对 机 构 使 命 的 影响 进行 分 析 或 评估 
资产 的 关键 性 后 ， 可 以 得 到 系统 和 数据 的 关键 性 和 敏感 性 方面 的 信息 。 

使 用 自动 扫描 工具 ”一些 主动 的 技术 方法 可 以 用 来 有 效 地 收集 系统 信息 。 例如， 
网 络 映射 工具 可 以 识别 出 运行 在 一 大 群 主机 上 的 服务 ， 并 提供 一 个 快速 的 方法 
来 为 目标 信息 系统 建立 轮廓。 


信息 收集 工作 可 以 贯穿 于 整个 风险 评估 过 程 ， 从 第 1 步 《〈 系 统 特征 描述 ) 一 直到 第 
9 步 (结果 记录 )。 


步骤 1 的 输出 : 被 评估 的 信息 系统 的 特征 、 对 信息 系统 环境 的 描述 、 对 系统 边界 的 


刻画 。 


2. 识别 威胁 


如 果 没 有 脆弱 性 ,威胁 源 无 法 造成 风险 ; 在 确定 威胁 的 可 能 性 时 ， 应 该 考虑 威胁 源 、 


潜在 的 脆弱 性 和 现 有 的 安全 措施 。 
(1) 识别 威胁 源 


本 步 的 目标 是 识别 出 潜在 的 威胁 源 ， 并 且 编 辑 出 一 份 威胁 声明 ， 其 中 要 列 出 被 评估 


的 信息 系统 面临 的 潜在 威胁 源 。 


威胁 源 被 定义 为 任何 可 能 危害 一 个 信息 系统 的 环境 或 事件 。 威 胁 源 按照 其 性 质 一 般 
可 分 为 自然 威胁 和 人 为 威胁 。 信 息 系统 根据 自身 应 用 的 特点 和 地 理 位 置 可 能 会 面 对 不 同 
的 威胁 源 。 在 评估 威胁 源 时 , 要 考虑 可 能 危害 信息 系统 及 其 处 理 环境 的 所 有 潜在 威胁 源 。 


(2) 动机 和 行为 


攻击 的 动机 和 资源 使 得 人 成 为 了 潜在 的 危险 威胁 源 之 一 。 表 11-1 概括 了 许多 常见 的 
可 能 的 攻击 方法 和 威胁 行为 。 这 些 信息 对 一 个 单位 研究 其 面 
临 的 人 为 威胁 环境 并 制定 人 为 威胁 声明 非常 有 用 。 另 外 ， 以 下 方法 也 有 助 于 标识 人 为 威 
事故 报告 ; 在 信息 收集 过 程 中 与 系统 管理 员 、 229 


人 为 威胁 、 其 可 能 的 动机 、 


胁 : 审查 系统 的 破坏 历史 、 安 全 违规 报告 、 


技术 支持 人 员 、 用 户 面谈 。 
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表 11-1 人 为 威胁 的 威胁 源 、 动 机 和 威胁 行为 


威胁 源 动机 
黑客 挑战 
自负 
反叛 
计算 机 罪犯 破坏 信息 
非法 泄漏 信息 
非法 算 改 数据 
获取 钱财 
恐怖 分 子 勒索 
破坏 
恶意 利用 
复仇 
工业 间谍 竞争 优势 
经 济 间 谍 


威胁 行为 

破解 

社会 工程 

系统 入 侵 、 间 入 

未 授权 访问 

计算 机 犯罪 (例如 网 络 骚扰 ) 
欺诈 行为 (例如 重 放 、 身 份 假冒 、 截 获 ) 
伪造 

系统 入 侵 

炸弹 / 瓯 怖 主义 

信息 战 

系统 攻击 (例如 分 布 式 拒绝 服务 ) 
系统 渗透 

系统 算 改 

信息 窃取 

侵犯 个 人 隐私 

社会 工程 

系统 渗透 

未 授权 的 系统 访问 
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威胁 源 动机 威胁 行为 
内 部 人 员 好 奇 矣 扰 员工 
(没有 接受 良好 培训 、 心 怀 自负 勒索 
不 满 、 恶 意 、 政 忽 、 不 诚实 、 聪明 浏览 专属 信息 
离职 员工 ) 计算 机 滥用 
欺诈 和 和 侈 取 

复仇 

无 意 错误 和 政 忽 Wg 人 

(例如 数据 录入 弄 众 、， 人 


错误 、 编 程 错误 ) 


恶意 代码 (例如 病毒 、 逻 辑 炸 弹 、 特 洛 仇 木 马 ) 
出 卖 个 人 信息 

系统 缺陷 

系统 入 侵 

系统 破坏 


未 授权 系统 访问 


为 了 确定 脆弱 性 被 利用 的 可 能 性 ， 在 识别 出 潜在 的 威胁 源 后 ， 要 对 其 发 起 一 次 成 功 


攻击 所 需 的 动机 、 资 源 和 能 力 做 出 估计 。 


应 该 为 单位 及 其 处 理 环 境 制定 威胁 声明 或 潜在 威胁 源 的 清单 。 关 于 威胁 的 信息 来 源 


一 般 包括 〈 但 不 限于 ) 以 下 几 方 面 。 
口 信息 咨询 机 构 。 
口 件 响 应 或 应 急 响 应 中 心 。 


口 大 众 媒体 ， 尤 其 是 基于 Web 的 资源 ， 例 如 安全 网 站 。 
步骤 2 的 输出 : 威胁 声明 ， 其 中 包括 对 威胁 源 的 记录 ， 该 威胁 源 可 能 会 利用 系统 的 


脆弱 性 发 动 攻击 。 
3. 识别 脆弱 性 


本 步 的 目标 是 制定 系统 中 可 能 会 被 威胁 源 利 用 的 脆弱 性 (缺陷 或 薄弱 环节 ) 的 列表 。 
表 11-2 中 列 出 了 一 些 脆弱 性 /威胁 对 的 例子 。 


表 11-2 脆弱 性 /威胁 对 


脆弱 性 威胁 源 
离职 员工 的 系统 账号 没有 从 系统 ”离职 员工 
中 注销 


单位 的 防火 墙 允许 进入 方向 的 
telnet， 并 且 在 某 服务 器 上 人 允许 以 
guest 账号 进入 

厂商 在 系统 安全 设计 中 存在 为 人 
所 知 的 缺陷 ， 但 还 没有 补丁 文件 


未 经 授权 的 用 户 ( 例 如 黑 
客 、 离 职员 工 、 计 算 机 罪 
犯 、 恐 怖 分 子 》 

未 经 授权 的 用 户 ( 例 如 黑 


客 、 离 职员 工 、 计 算 机 罪 


威胁 行为 

拨号 进入 单位 网 络 , 并 访问 公司 的 
敏感 数据 

通过 telnet, 用 guest 账号 进入 某 服 
务 器 ， 浏 览 系统 文件 


基于 已 为 人 所 知 的 系统 的 脆弱 性 ， 
未 授权 地 访问 敏感 的 系统 文件 


犯 、 恶 怖 分 子 》 


数据 中 心 使 用 酒水 器 来 灭火 , 没有 
用 防水 油 布 来 保护 硬件 和 设备 


火灾 、 人 员 朴 忽 大 意 


打开 了 数据 中 心 的 酒水 器 
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识别 系统 脆弱 性 可 以 有 以 下 几 种 建议 的 方法 : 使 用 脆弱 性 源 ， 测 试 系统 安全 性 能 ， 
以 及 制定 安全 要 求 核对 表 。 

(1) 脆弱 性 源 

可 以 用 系统 安全 测试 技术 来 识别 信息 系统 处 理 环境 中 的 技术 和 非 技 术 脆弱 性 。 对 其 
他 资源 (例如 标识 系统 缺陷 和 Bug 的 厂商 Web 主页 ) 进行 检查 也 有 好 处 ， 这 些 手段 可 以 
用 来 标识 某 些 特定 的 信息 系统 〈 例 如 特定 操作 系统 的 一 个 具体 版 本 ) 的 脆弱 性 。Intemet 
上 也 可 查询 到 各 方面 发 布 的 脆弱 性 修复 办 法 、 服 务 包 、 补 丁 文件 以 及 其 他 可 消除 或 减 组 
脆弱 性 的 矫正 措施 。 所 记录 下 的 系统 脆弱 性 源 将 得 到 全 面 的 分 析 , 这 些 脆弱 性 源 包 括 (但 
不 限于 ) 以 下 内 容 。 

口 信息 系统 在 以 前 经 过 的 风险 评估 的 文档 

口 信息 系统 审计 报告 、 系 统 异 常 报告 、 安 全 检查 报告 、 系 统 测 试 和 评价 报告 等 

口 脆弱 性 列表 

口 软件 安全 分 析 

(2) 系统 安全 测试 

基于 信息 系统 的 关键 性 和 可 用 的 资源 (例如 所 分 配 的 资金 、 可 以 获得 的 技术 、 测 试 
人 员 所 掌握 的 技术 ), 可 以 采用 系统 测试 等 主动 方法 来 有 效 地 识别 系统 的 脆弱 性 , 这 些 测 
试 方法 包括 以 下 几 种 。 

口 自动 化 脆弱 性 扫描 工具 

口 系统 测试 和 评估 (ST&E ) 

口 渗透 性 测试 

自动 化 的 脆弱 性 扫描 工具 可 用 来 对 一 组 主机 或 一 个 网 络 进行 扫描 ， 以 找 出 已 知 的 脆 
弱 性 。 但 是 要 注意 到 有 些 由 自动 化 脆弱 性 扫描 工具 识别 出 来 的 可 能 的 脆弱 性 可 能 无 法 表 
示 系 统 环境 中 的 真实 脆弱 性 。 例 如 ， 某 些 扫描 工具 在 对 脆弱 性 评级 时 ， 没 有 考虑 现场 的 
环境 和 需求 。 有 些 由 这 类 扫描 工具 标记 出 来 的 脆弱 性 在 特定 现场 可 能 并 不 是 真正 的 脆弱 
性 ， 而 不 过 是 它们 所 在 的 环境 要 求 这样 配 置 罢了 。 因 此 这 种 测试 方法 可 能 会 产生 误 报 。 

ST&E 是 另 一 种 用 来 在 风险 评估 过 程 中 识别 信息 系统 脆弱 性 的 技术 ， 它 包括 制订 并 
执行 测试 计划 (例如 测试 脚本 、 测 试 流程 和 预期 的 测试 结果 )。 系 统 安全 测试 的 意图 是 测 
试 信息 系统 的 安全 措施 在 运行 环境 中 的 有 效 性 ， 其 目的 是 保证 所 采用 的 控制 满足 了 已 获 
批准 的 软件 和 硬件 安全 规范 ， 并 实现 了 机 构 的 安全 策略 和 业界 标准 。 

渗透 性 测试 可 以 用 来 补充 对 安全 控制 的 检测 ， 并 保证 信息 系统 的 各 个 不 同方 面 都 是 
安全 的 。 当 在 风险 评估 过 程 中 采用 渗透 性 测试 时 ， 可 以 用 它 评估 信息 系统 对 故意 规避 系 
统 安全 的 攻击 进行 抵御 的 能 力 ， 其 目的 是 从 威胁 源 的 角度 来 对 信息 系统 进行 测试 ， 以 识 
别 出 信 息 系统 保护 计划 中 可 能 被 疏忽 的 环节 。 这 类 可 选 安全 测试 的 结果 将 有 助 于 对 系统 
脆弱 性 的 识别 。 

步骤 3 的 输出 : 有 可 能 被 潜在 的 威胁 源 所 利用 的 系统 脆弱 性 〈 观 察 报告 ) 清单 。 


4. 分 析 安 全 控制 


本 步 的 目标 是 对 已 经 实现 和 计划 实现 的 安全 措施 进行 分 析 一 一 单位 通过 这 些 措 施 来 
减 小 或 消除 一 个 威胁 源 利用 系统 脆弱 性 的 可 能 性 或 概率 )。 
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要 产生 一 个 总 体 的 可 能 性 级 别 评定 ， 以 说 明 一 个 潜在 的 脆弱 性 在 相关 威胁 环境 下 被 
攻击 的 可 能 性 ， 便 需要 分 析 当 前 已 经 实现 的 安全 措施 。 例 如 ， 如 果 威 胁 源 的 兴趣 或 能 力 
级 别 很 低 ， 或 者 通过 有 效 的 安全 措施 可 以 消除 或 减轻 危害 的 后 果 ， 那 么 一 个 脆弱 性 〈 例 
如 系统 或 流程 中 的 薄弱 环节 ) 被 利用 来 发 动 攻击 的 可 能 性 就 低 。 

(1) 安全 措施 

安全 措施 包括 对 技术 和 非 技术 措施 的 运用 。 技 术 类 措施 是 那些 融入 到 计算 机 硬件 、 
软件 或 固件 中 的 保护 措施 《例如 访问 控制 机 制 、 标 识 和 鉴别 机 制 、 加 密 方法 、 入 侵 检测 
软件 等 )， 非 技术 类 措施 包括 管理 和 运行 类 措施 ， 例 如 安全 策略 、 操 作 流 程 、 人 员 、 物 理 
和 环境 安全 。 

(2) 安全 措施 的 分 析 技 术 

制定 安全 要 求 核对 表 或 使 用 一 个 已 有 的 核对 表 将 有 助 于 以 一 种 有 效 且 系统 化 的 方式 
对 安全 措施 进行 分 析 。 安 全 要 求 核 对 表 可 以 用 来 验证 安全 是 否 与 既 有 的 法 规 和 政策 相 一 
致 。 因 此 ， 在 单位 的 控制 环境 发 生变 化 〈 例 如 安全 策略 、 方 法 和 要 求 发 生变 化 ) 后， 有 
必要 对 核对 表 进 行 更 新 ， 以 确保 其 有 效 性 。 

步骤 4 的 输出 : 信息 系统 已 经 实现 的 控制 清单 。 


5. 分 析 可 能 性 
这 个 步骤 要 说 明 一 个 潜在 的 脆弱 性 在 相关 威胁 环境 下 被 攻击 的 可 能 性 ， 下 列 支 配 因 
素 应 该 在 本 步 中 考虑 。 


(1) 威胁 源 的 动机 和 能 

(2) 脆弱 性 的 性 质 。 

(3) 安全 措施 的 有 效 性 。 

一 个 潜在 的 脆弱 性 被 一 个 给 定 威胁 源 攻击 的 可 能 性 可 以 用 高 、 中 、 低 来 表示 。 表 11-3 
描述 了 这 3 个 可 能 性 级 别 。 

表 11-3 ”可 能 性 的 定义 
可 能 性 级 别 。 可 能 性 描述 
威胁 源 具 有 强烈 的 动机 和 足够 的 能 力 ， 防 止 脆弱 性 被 利用 的 安全 措施 是 无 效 的 


高 

中 威胁 源 具 有 一 定 的 动机 和 能 力 ， 但 是 已 经 部 署 的 安全 措施 可 以 阻止 对 脆弱 性 的 成 功 
利用 

低 威胁 源 缺 少 动机 和 能 力 ， 或 者 已 经 部 署 的 安全 措施 能 够 防止 (至少 能 大 大 地 阻止 
对 脆弱 性 的 利用 


步骤 5 的 输出 : 可 能 性 级 别 〈 高 、 中 或 低 )。 

6. 分 析 影 响 

度量 风险 级 别 的 下 一 主要 步骤 便 是 确定 对 脆弱 性 的 一 次 成 功 攻击 所 产生 的 负面 影 
响 。 在 开始 影响 分 析 过 程 之 前 ， 有 必要 获得 以 下 信息 。 

(1) 系统 使 命 〈 例 如 信息 系统 的 处 理 过 程 ) 

(2) 系统 和 数据 的 关键 性 〈 系 统 对 单位 的 价值 和 重要 性 ) 
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(3) 系统 和 数据 的 敏感 性 
这 些 信 息 可 以 从 现 有 的 文档 中 获得 , 例如 使 命 影响 分 析 报告 或 资产 关键 性 评估 报告 。 
使 命 影响 分 析 将 根据 对 资产 关键 性 和 敏感 性 的 定量 或 定性 评估 而 对 单位 资产 面临 的 破坏 
级 别 进行 排序 。 资 产 关键 性 评估 活动 将 对 关键 或 敏感 的 信息 资产 〈 例 如 硬件 、 软 件 、 系 
统 、 服 务 以 及 相关 的 技术 资产 ) 进行 标识 和 排序 ， 是 这 些 资 产 支 持 了 单位 的 关键 使 命 。 
如 果 没 有 这 些 文档 ， 或 对 单位 信息 资产 的 类 似 评估 还 没有 开始 进行 ， 则 可 以 根据 系 
统 和 数据 的 可 用 性 、 完 整 性 和 保密 性 保护 级 别 来 确定 其 敏感 性 。 不 管用 何 种 方法 来 确定 
人 敏感 级 ， 系 统 和 信息 的 所 有 者 都 要 负责 判断 其 系统 和 信息 可 能 遭 到 的 影响 级 别 。 因 此 ， 
在 分 析 影 响 时 最 好 同系 统 和 信息 的 拥有 者 商谈 。 
对 安全 事件 的 负面 影响 可 以 用 完整 性 、 可 用 性 和 保密 性 3 个 安全 属性 的 损失 或 降低 
来 描述 。 下 面 列 出 了 每 个 安全 属性 的 简要 描述 以 及 它们 未 被 满足 后 可 能 带 来 的 后 果 (或 
影响 )。 
口 完整 性 损失 ”系统 和 数据 的 完整 性 是 指 要 求 对 信息 进行 保护 ， 防 止 其 遭 到 不 适 
当 的 修改 。 如 果 对 系统 和 数据 进行 了 未 授权 (无 论 是 有 意 还 是 无 意 的 ) 的 改动 ， 
则 完整 性 便 遭 到 了 破坏 。 如 果 对 系统 或 数据 的 这 种 完整 性 损失 不 加 以 修正 ， 继 
续 使 用 被 感染 的 系统 或 被 破坏 的 数据 ， 便 有 可 能 会 导致 不 精确 性 、 欺 诈 或 错误 
的 决策 。 此 外 ， 对 完整 性 的 破坏 往往 是 对 可 用 性 和 保密 性 进行 成 功 攻击 的 第 
一 步 。 233 
口 可 用 性 损失 ”如 果 一 个 关键 的 信息 系统 对 其 端 用 户 是 不 可 用 的 ， 那 么 单位 的 使 
命 就 会 受 影 响 。 例如， 系统 功能 和 有 效 性 的 损失 可 能 会 延误 生产 时 间 ， 因 此 便 
妨碍 了 端 用 户 的 功能 发 挥 。 
口 保密 性 损失 ”系统 和 数据 的 保密 性 是 指 对 信息 进行 保护 ， 防 止 未 经 授权 的 泄露 。 
保密 信息 的 未 授权 泄露 带 来 的 影响 范围 很 广 ， 可 以 从 破坏 国家 安全 到 泄露 隐私 
数据 。 未 授权 的 、 非 预期 的 或 故意 地 泄露 信息 有 可 能 会 导致 公众 信心 的 下 降 、 
难堪 或 使 机 构 面 临 法 律 诉讼 。 
有 些 有 形 影 响 可 以 通过 营 收 损失 、 修 复 系统 的 成 本 、 修 复 由 破坏 而 引发 的 问题 所 需 
要 的 努力 程度 等 定量 测 出 。 其 他 影响 〈 例 如 公众 信心 损失 、 信 用 损失 、 单 位 利益 的 破坏 ) 
则 不 能 用 具体 的 数量 单位 来 度量 ， 而 只 能 通过 定性 手段 进行 度量 ， 或 用 高 、 中 、 低 影响 
等 术语 来 描述 ， 见 表 11-4。 


表 11-4 影响 级 别 的 定义 


影响 级 别 ”影响 定义 

高 对 脆弱 性 的 利用 : 四 可 能 导致 有 形 资产 或 资源 的 高 成 本 损失 ; @ 可 能 严重 违 返 、 危 害 或 
阻碍 单位 的 使 命 、 声 誉 或 利益 ，@@ 可 能 导致 人 员 死 亡 或 严重 伤害 

中 对 脆弱 性 的 利用 : 四 可 能 导致 有 形 资产 或 资源 的 损失 ; @@ 可 能 违反 、 危 害 或 阻碍 单位 的 
使 命 、 声 誉 或 利益 ;，@@ 可 能 导致 人 员 伤害 

低 对 脆弱 性 的 利用 : 四 可 能 导致 某 些 有 形 资产 或 资源 的 损失 ; @ 可 能 对 单位 的 使 命 、 声 誉 
或 利益 造成 值得 注意 的 影响 


在 进行 影响 分 析 时 ， 应 该 考虑 定性 和 定量 评估 的 优 缺 点 。 定 性 影响 分 析 的 优点 是 它 
可 对 风险 进行 排序 并 能 够 对 那些 需要 立即 改善 的 环节 进行 标识 。 定 性 影响 分 析 的 缺点 是 
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它 没 有 对 影响 大 小 给 出 具体 的 定量 度量 ， 因 此 使 得 成 本 效益 分 析 变 得 很 困难 。 

定量 影响 分 析 的 主要 优点 是 它 对 影响 大 小 给 出 了 度量 ， 使 得 可 以 用 成 本 效益 分 析 来 
控制 成 本 。 缺 点 是 它 依赖 于 用 来 表示 度量 的 数字 范围 ， 定 量 影响 分 析 的 结果 的 含义 可 能 
因而 会 比较 模糊 ， 还 要 以 定性 的 方式 对 结果 做 解释 。 在 确定 影响 大 小 时 还 经 常 要 考虑 其 
他 因素 ， 包 括 〈 但 不 限于 ) 以 下 几 个 方面 。 

(1) 对 威胁 源 在 一 段 时 间 内 《例如 一 年 ) 利用 脆弱 性 的 频率 进行 估计 。 

(2) 威胁 源 每 次 利用 脆弱 性 发 起 攻击 时 的 近似 成 本 。 

(3) 经 过 对 一 次 特定 影响 进行 主观 分 析 后 给 出 的 加 权 因 素 。 

步骤 6 的 输出 : 影响 大 小 (高 、 中 或 低 )。 


7. 确定 风险 


这 一 步 的 目的 是 评估 信息 系统 的 风险 级 别 。 确定 一 个 特定 的 威胁 /脆弱 性 对 带 来 的 风 
仿 时 ， 可 以 将 其 表示 为 以 下 参数 构成 的 函数 。 

(1) 给 定 的 威胁 源 试图 攻击 一 个 给 定 的 系统 脆弱 性 的 可 能 性 。 

(2) 一 个 威胁 源 成 功 攻击 了 这 个 系统 的 脆弱 性 后 所 造成 的 影响 的 程度 。 

(3) 规划 中 或 现 有 的 安全 措施 对 于 降低 或 消除 风险 的 充分 性 。 

为 度量 风险 ， 首 先 必须 制定 一 个 风险 尺度 和 风险 级 别 和 矩阵 。 

(1) 风险 级 别 矩阵 

将 威胁 的 可 能 性 〈 例 如 概率 ) 及 威胁 影响 的 级 别 相 乘 后 便 得 出 了 最 终 的 使 命 风险 。 
下 面 是 一 个 关于 威胁 的 可 能 性 〈 高 、 中 、 低 ) 和 威胁 影响 〈 高 、 中 、 低 ) 的 3x3 矩阵 。 
根据 现场 要 求 和 风险 评估 要 求 的 粒度 ， 有 些 情况 下 也 可 能 使 用 4x4 或 5x5 的 矩阵 ， 后 者 
可 以 包括 一 个 很 低 /很 高 的 威胁 可 能 性 和 一 个 很 低 /很 高 的 威胁 影响 ， 从 而 产生 一 个 很 低 / 
很 高 的 风险 级 别 。“ 很 高 ”的 风险 级 别 可 能 要 求 系统 关闭 或 停止 所 有 的 信息 系统 集成 及 测 
试 工作 。 

表 11-5 中 的 矩阵 范例 描述 了 高 、 中 或 低 的 总 体 风 险 级 别 是 如 何 得 出 的 。 这 种 风险 级 
别 或 等 级 的 确定 可 能 是 主观 性 的 。 这 种 判断 的 基本 原理 可 以 用 每 个 可 能 性 级 别 上 分 配 的 
概率 值 和 每 个 影响 级 别 上 分 配 的 影响 值 来 解释 。 例 如 : 中 赋 给 每 个 威胁 可 能 性 级 上 的 概 
率 为 1.0 时 表示 高 ，0.5 表示 中 ，0.1 表示 低 ; @ 赋 给 每 个 影响 级 上 的 值 为 100 时 表示 高 ， 
50 表示 中 ，10 表示 低 。 


表 11-5 风险 级 别 和 矩阵 


影响 
Ea 低 (10) 中 (50) 高 (100) 
高 (1.0) 低 10x1.0=10 中 50x1.0=50 高 100x1.0=100 
中 (0.5) 低 10x0.5=5 中 50x0.5= 25 中 100x0.5= 50 
低 (0.1) 低 10x0.1=1 低 50x0.1=5 低 100x0.1=10 


风险 尺度 : 高 (50~100); 中 (10~50); 低 (1 一 10)。 
(2) 风险 级 别 描述 
表 11-6 描述 了 上 述 和 矩阵 中 的 风险 级 别 。 这 种 表示 为 高 、 中 、 低 的 风险 尺度 代表 了 如 
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果 给 定 的 脆弱 性 被 利用 来 攻击 时 , 信息 系统 、 设 施 或 流程 可 能 暴露 出 的 风险 程度 或 级 别 。 
风险 尺度 也 表示 了 高 级 管理 人 员 和 系统 拥有 者 对 每 种 风险 级 别 必 须 采 取 的 行动 。 


表 11-6 风险 尺度 和 必要 行动 

风险 级 别 ”风险 描述 和 必要 行动 

高 如 果 被 评估 为 高 风险 ， 那 么 便 强烈 要 求 有 纠正 措施 。 一 个 现 有 系统 可 能 要 继续 运行 ,但 
是 必须 尽快 部 署 针 对 性 计划 

中 如 果 被 评估 为 中 风险 , 那么 便 要 求 有 纠正 行动 , 必须 在 一 个 合理 的 时 间 段 内 制订 有 关 计 
划 来 实施 这 些 行动 

低 如 果 被 评估 为 低 风险 , 那么 单位 的 管理 层 就 必须 确定 是 否 还 需要 采取 纠正 行动 或 者 是 否 
接受 风险 


步骤 7 的 输出 : 风险 级 别 〈 高 、 中 、 低 )。 
8. 建议 安全 措施 


在 这 一 步 里， 将 针对 单位 的 运行 提出 可 用 来 控制 已 识别 出 的 风险 的 安全 措施 。 这 些 
措施 的 目标 是 降低 信息 系统 的 风险 级 别 ， 使 其 达到 一 个 可 接受 的 水 平 。 在 对 安全 措施 以 
及 减缓 或 消除 已 识别 风险 的 备 选 方案 提出 建议 时 ， 应 该 考虑 下 列 因素 。 

(1) 所 建议 的 选项 的 有 效 性 〈 如 系统 的 兼容 性 ) 

(2) 法 律 法 规 

(3) 单位 的 政策 

(4) 对 运行 的 影响 

(5) 安全 性 和 可 靠 性 

建议 安全 措施 是 风险 评估 过 程 的 结果 ， 并 为 风险 控制 过 程 提 供 了 输入 。 

步骤 8 的 输出 : 减缓 风险 的 安全 措施 建议 及 备 选 解决 方案 。 

9. 记录 评估 结果 

一 旦 风险 评估 全 部 结束 (威胁 源 和 系统 脆弱 性 已 经 被 识别 出 来 , 风险 也 得 到 了 评估 ， 
安全 措施 建议 也 已 经 提出 )， 该 过 程 的 结果 应 该 被 记录 到 正式 的 报告 或 简报 里 。 

步骤 9 的 输出 : 风险 评估 报告 ， 它 描述 了 威胁 和 脆弱 性 和 风险 度量 ， 并 为 安全 控制 
的 实现 提供 了 建议 。 
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。 理解 系统 灾难 的 含义 

。 理解 系统 灾难 预防 响应 的 含义 

。 了 解 如 何 制定 灾难 恢复 计划 

一 般 来 说 ， 灾 难 指 能 够 对 社会 造成 影响 的 突然 的 灾害 ， 其 产生 原因 可 能 来 自 于 人 类 
自身 也 可 能 来 自 于 自然 。 人 为 的 因素 包括 恶意 破坏 、 操 作 失误 、 下 忽 大 意 等 。 自 然 因 素 
包括 台风 、 龙 卷 风 或 海啸 等 。 这 些 因素 都 有 可 能 导致 信息 系统 严重 故障 甚至 瘫 病 ， 有 的 
影响 是 暂时 的 ， 有 的 却 是 长 期 的 。 灾 难 管理 技术 就 是 为 了 减缓 这 些 影响 而 产生 的 。 

在 信息 技术 中 ， 灾 难 对 所 有 企业 信息 系统 来 说 都 是 一 个 不 可 回避 的 安全 问题 。 为 了 
使 组 织 保持 竞争 力 ， 所 有 通信 系统 都 必须 保持 24 小 时 持续 工作 。 当 灾害 来 临时 ， 如 果 系 
统 不 能 承受 这 些 影响 而 导致 崩溃 ， 那 也 就 意味 着 该 系统 在 商业 方面 的 失败 。 特 别 是 在 
9。11 袭击 以 后 ， 很 多 公司 与 企业 都 认识 到 了 灾难 管理 的 重要 性 。 

目前 灾难 管理 的 重点 主要 在 于 灾难 预防 、 灾 难 响应 与 灾难 恢复 。 本 章 将 灾难 管理 当 
作 信 息 系统 主要 的 安全 问题 ， 并 讨论 了 灾难 处 理 的 方式 、 工 具 与 实践 。 

灾难 分 为 自然 因素 与 人 为 因素 两 种 ， 其 中 自然 因素 主要 包括 人 台风、 龙卷风 、 洪 灾 、 
冰雪 天 气 、 泥 石 流 、 干 旱 、 地 震 、 地 磁 风 暴 、 雪 灾 、 火 灾 等 ， 而 人 为 因素 主要 包括 暴力 
袭击 、 营 意 破 坏 、 盗 穷 、 病 毒 、 肾 虫 、 恶 意 代 码 、 战 争 、 纵 火 、 网 络 犯罪 等 。 


12.0 灾难 预防 


所 谓 灾难 预防 就 是 通过 采取 一 系列 由 控制 策略 组 成 的 前 置 措施 确保 灾难 不 会 发 生 。 
控制 者 有 可 能 是 一 个 人 或 一 个 机 制 甚至 是 一 个 数字 传感器 设备 。 随 着 技术 的 发 展 ， 灾 难 
预防 与 灾难 恢复 的 技术 也 在 提升 。 灾 难 预防 的 作用 就 是 及 时 检测 异常 情况 ， 使 工作 人 员 
可 以 有 时 间 应 对 即将 到 来 的 危机 。 例 如 在 机 房 内 设 有 温度 指示 器 ， 其 显示 机 房 内 温度 上 
升 异常 ， 那 么 就 可 以 在 火灾 发 生 之 前 将 计算 设备 关闭 。 

在 过 去 的 一 段 时 间 里 ， 系 统 灾难 预防 很 大 程度 上 依赖 于 人 员 的 能 力 ， 通 过 个 人 经 验 
对 不 常见 的 环境 进行 检测 、 判 断 。 例 如 高 温 、 烟 雾 的 出 现 ， 设 备 的 断 电 等 情况 都 有 可 能 
造成 信息 系统 的 损 

随 着 技术 的 发 展 ， 各 种 智能 监控 设备 已 经 应 用 在 灾难 预防 过 程 中 。 监 控 设 备 可 以 对 
由 灾难 事件 引起 的 系统 不 常见 变化 做 出 迅速 反应 。 目 前 ， 监 控 设 备 可 以 监控 以 下 环境 : 
温度 、 湿 度 、 十 水、 烟雾 、 风 速 、 访 问 控制 安全 、 系 统 报警 器 状态 等 ， 还 包括 一 些 不 容 
易 被 工作 人 员 发 现 的 隐蔽 位 置 ， 如 空调 管道 、 升 降 梯 下 面 等 。 

监控 过 程 中 ， 如 果 有 灾难 发 生 的 信号 出 现 ， 就 会 马上 触发 行动 模块 。 有 具体 采取 的 行 
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动 由 系统 管理 员 预 先 设 定 ， 包 含 以 下 内 容 。 
口 运行 本 地 或 远 端 报警 指示 器 ， 如 汽笛 、 铃 锚 、 光 信号 或 人 工 合成 声音 。 
口 ”隔离 受 影响 的 资源 ， 将 能 量 供给 切断 或 保持 低能 量 供给 。 供 给 线 可 能 为 电源 、 
水 源 、 燃 料 或 其 他 一 类 东西 。 
口 给 相关 人 员 发 送信 号 ， 包 括 系统 用 户 、 管 理 员 、 安 全 人 员 、 维 护 人 员 、 通 过 认 
证 的 远程 用 户 。 
口 以 上 一 个 或 多 个 操作 完成 后 ， 系 统 将 会 等 待 响应 。 
12.2 系统 灾难 响应 
灾难 响应 是 针对 受 影响 的 团体 进行 长 期 或 短期 的 处 理 来 降低 影响 程度 的 一 系列 策 
略 。 在 处 理 灾难 响应 时 ， 策 略 的 执行 必须 快速 及 时 。 通 常 来 说 ， 大 体 上 分 为 两 个 步骤 ， 
快速 响应 和 灾难 恢复 。 
-快速 响应 的 关键 因素 “， 
灾难 发 生 后 ， 及 时 快速 的 响应 对 于 减少 系统 损失 ， 使 系统 迅速 恢复 正常 工作 起 到 了 
重要 作用 。 下 面 列 出 了 影响 系统 能 否 做 出 快速 响应 的 儿 个 关键 因素 。 237 
口 灾难 发 生 后 造成 的 风险 种 类 如果 事前 遇 到 过 相似 问题 ， 响 应 的 效率 会 大 幅 
提高 。 


口 灾难 发 生 的 环境 ”灾难 发 生 的 环境 决定 了 需要 做 出 何 种 响应 ， 要 列 出 清单 ， 标 
明 房 间 内 的 物品 种 类 及 系统 位 置 。 

口 可 用 资源 的 数量 ”灾难 响应 有 效 性 取决 于 当场 可 用 的 资源 数量 ， 这 些 资 源 有 助 
于 提高 响应 的 成 功率 。 

口 采取 响应 行动 的 时 间 “灾难 响应 中 ， 时 间 决 定 了 可 以 采取 多 少 行动 以 及 可 以 在 
多 大 程度 上 控制 灾难 影响 。 

口 对 于 执行 策略 的 理解 ”每 种 响应 方案 都 应 遵循 组 织 的 安全 策略 ， 对 策略 的 正确 

理解 可 以 有 效 提高 灾难 响应 的 有 效 性 。 

一 个 优秀 灾难 恢复 计划 的 价值 在 于 其 可 快速 做 出 反应 并 有 效 减 小 威胁 。 为 实现 这 一 
目的 ，3 个 因素 必 不 可 少 : 消息 灵通 的 工作 小 组 、 资 源 提供 商 和 确定 的 程序 。 当 然 计划 
不 是 写 在 纸 上 就 束之高阁 了 ， 还 需要 进行 周期 性 的 排练 。 例 如 ， 在 9。11 恐怖 黎 击 后 
美国 的 企业 都 认识 到 了 离线 备份 数据 的 重要 性 。 因 此 在 秦 击 以 后 ， 定 期 对 离线 存储 设备 
中 的 数据 进行 检索 就 成 为 了 一 种 常态 。 

制订 灾难 恢复 计划 是 一 个 需要 细心 对 待 的 复杂 过 程 ， 包 含 了 风险 评估 、 计 划 制 订 、 
文档 编排 、 计 划 执 行 、 测 试 和 维护 等 一 系列 步 又。 计划 制 订 之 初 ， 应 该 由 灾难 恢复 委员 
会 的 多 个 成 员 共 同 进行 ， 因 为 这 些 成 员 来 自 于 组 织 内 的 不 同 部 门 ， 能 够 决定 灾难 发 生 时 
需要 提供 恢复 的 具体 解决 方法 。 制 订 计 划 的 过 程 由 多 个 步骤 组 成 ， 具 体 包括 以 下 步骤 。 

(1) 识别 存在 的 灾难 ， 并 设 定 优先 级 。 
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(2) 识别 系统 的 核心 功能 并 设 定 优先 级 。 

(3) 识别 系统 的 核心 资源 并 进行 威胁 分 析 。 

(4) 制订 告知 计划 。 

(5) 制订 伤害 评估 计划 。 

(6) 设 定 灾 难 恢复 站 点 。 

(7) 制订 用 于 在 灾难 恢复 站 点 进行 核心 功能 恢复 的 计划 。 

由 于 灾难 是 不 可 预 估 的 ， 通 常 具 有 不 确定 性 与 不 可 预知 性 ， 因 此 灾难 恢复 计划 需要 
持续 运行 ， 作 为 一 个 动态 进程 始终 贯穿 在 系统 的 生命 周期 之 中 。 


12.3 灾难 恢复 委员 会 


灾难 恢复 委员 会 主要 负责 制订 并 修改 灾难 恢复 计划 ， 委 员 会 需要 了 解 系统 中 每 个 部 
门 的 功能 和 核心 的 商业 单元 ， 防 止 在 制订 计划 时 遗漏 系统 的 核心 信息 和 资产 。 委 员 会 的 
所 有 成 员 都 应 进行 有 关 灾 难 恢复 的 训练 ， 每 个 成 员 都 应 被 赋予 识别 各 自 部 门 关键 行为 的 
责任 ， 委 员 会 同样 担任 着 对 其 他 员工 传输 安全 意识 的 责任 。 


12.4 恢复 进程 


灾难 管理 与 恢复 的 下 一 步 措施 是 采取 各 种 实际 方法 来 减轻 灾难 造成 的 损害 。 这 主要 
包括 以 下 几 个 过 程 : 识别 灾难 并 设 定 优先 级 、 标 记 核心 资源 、 制 订 通 告 计划 和 组 织 员 工 
培训 等 。 

1. 识别 灾难 并 设 定 优先 级 


灾难 造成 的 影响 一 般 分 为 低 、 中 、 高 3 个 层次 。 
口 低级 灾难 ”人 为 误 操作 、 室 内 高 温 、 服 务 出 错 。 
口 中 级 灾难 ”病毒 攻击 、 长 时 间 的 停电 、 服 务 器 故障 。 
口 高 级 灾难 ”地震 、 海 哺 、 大 火 、 轴 怖 袭击 。 
2. 标记 核心 资源 
核心 资产 的 排名 基于 设备 本 身 所 要 花费 的 与 破坏 后 恢复 所 需 花费 的 金钱 总 数量 。 这 
些 核心 资产 包括 : 服务 器 、 工 作 站 和 外 设 ， 应 用 程序 和 数据 ， 电 信和 连接 ; 物理 架构 ( 电 
力 ， 环 境 控 制 )。 
根据 以 上 标准 进行 如 下 排名 。 
口 低级 资源 打印 纸 、 打 印 墨盒 、 笔 和 虽 子 等 。 
口 中 级 资源 工作 站 、 物 理 基础 设施 。 
口 高 级 资源 服务 器 、 磁 盘 阵 列 、 工 作 站 群 、 人 力 资源 。 
3. 制订 通告 计划 
灾难 发 生 时 应 及 时 向 相关 管理 人 员 进 行 通报 ， 不 同 级 别 的 事件 告知 的 形式 是 不 一 样 
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的 。 有 具体 的 形式 见 表 12-1。 
表 12-1 不 同 级 别 事件 告知 形式 


低级 别 灾难 中 级 别 灾难 高 级 别 灾难 

低级 别 资产 系统 管理 员 系统 管理 员 系统 管理 员 , 执法 部 门 ， 
企业 管理 员 

中 级 别 资产 系统 管理 员 系统 管理 员 系统 管理 员 , 执法 部 门 ， 
企业 管理 员 企业 管理 员 


从 表 12-1 中 可 以 看 出 ， 不 同 级 别 的 资产 和 不 同 级 别 的 灾难 环境 下 ， 所 要 告知 的 对 象 
是 不 一 样 的 。 及 时 进行 通报 可 以 使 管理 员 有 时 间 采 取 相 应 的 行为 ， 减 少 灾难 对 信息 系统 
的 影响 。 


4. 员工 培训 


由 于 灾难 处 理 进程 贯穿 在 整个 企业 的 生命 周期 之 中 ， 因 此 对 员工 进行 灾难 处 理 培训 
是 必要 的 。 对 不 同 的 员工 数量 ， 其 培训 的 方式 也 是 不 同 的 。 

如 果 培 训 仅 限 于 灾难 恢复 委员 会 范围 中 ， 则 可 以 用 研讨 会 的 形式 进行 培训 。 如 果 培 
训 范围 在 所 有 员工 之 中 ， 则 需要 指派 专人 进行 一 次 具体 的 宣讲 。 


12.5 使 系统 时 刻 处 于 准备 之 中 


具体 详尽 的 灾难 恢复 对 于 组 织 安全 的 作用 十 分 重大 ， 可 以 在 灾难 发 生 时 尽 可 能 减少 
损害 。 然 而 ， 随 着 组 织 情况 的 不 断 变化 ， 不 可 能 存在 一 个 一 成 不 变 足 以 应 对 所 有 灾难 的 
灾难 恢复 计划 。 灾 难 恢复 计划 需要 实时 贯穿 在 系统 生命 周期 之 中 ， 也 就 是 说 灾难 恢复 计 
划 要 不 断 变化 以 适应 新 技术 的 发 展 。 


1 时刻 准 备 着 应 付 灾难 


灾难 具有 突 发 性 ， 灾 难 真正 发 生 的 时 候 每 一 人 都 没有 时 间 学 习 处 理 灾 难 的 技巧 ， 因 
此 就 应 该 提前 做 好 准备 工作 。 

(1) 定期 检测 备份 文件 和 恢复 机 制 ， 确 认 能 够 从 各 种 灾难 中 恢复 需要 的 资料 ， 确 认 
所 有 的 程序 都 被 清晰 定义 ， 保 证 恢复 机 制 能 够 有 效率 地 执行 。 

(2) 定期 检阅 系统 日 志和 数据 交换 日 志 , 保证 在 某 些 数据 丢失 时 能 有 效 地 进行 追溯 。 


2. 时 刻 备份 介质 数据 


对 于 灾难 处 理 ， 最 好 的 方式 是 备份 。 另 外 ， 还 有 一 些 操作 是 必须 的 ， 具 体 如 下 。 
(1) 建立 定期 检测 已 备份 文件 时 间 表 并 严格 执行 。 

(2) 进行 文件 的 异地 存储 备份 。 

(3) 建立 表格 表明 需要 备份 的 数据 种 类 、 备 份 地 点 以 及 备份 时 间 。 


3. 风险 评估 
要 信息 系统 的 灾难 备份 分 析 应 包括 对 数据 处 理 中 心 的 风险 分 析 、 主 要 业务 分 析 及 
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确定 灾难 恢复 的 目标 等 。 

(1) 数据 处 理 中 心 风险 分 析 

口 分析 数据 处 理 中 心 的 风险 ， 如 物理 安全 、 人 为 因素 、 已 有 的 备份 和 恢复 系统 、 

基础 设施 脆弱 点 、 数 据 处 理 中心 位 置 、 关 键 技术 点 等 。 
口 明确 防范 风险 的 技术 与 管理 手段 。 
口 确定 需要 采取 灾难 恢复 的 类 型 ， 如 灾难 备份 中 心 的 距离 、 数 据 备份 方 式 和 频 
率 等 。 

(2) 业务 分 析 

口 分 析 各 项 业务 停业 将 造成 的 损失 。 

口 ”分析 每 项 业务 停顿 的 最 大 容忍 时 间 。 

口 ”分析 各 项 业务 的 恢复 优先 级 。 

口 “分析 各 项 业务 的 相关 性 。 

口 分析 可 接受 的 交易 丢失 程度 。 

(3) 确定 灾难 恢复 目标 

口 确定 恢复 业务 品种 范围 及 优先 级 。 

口 确定 灾难 备份 中 心 及 服务 界面 的 恢复 时 限 。 

建立 一 个 和 矩阵， 行头 包含 所 有 可 能 发 生 的 灾难 类 型 ， 列 头 包含 系统 内 所 有 有 价值 的 
资源 ， 和 矩阵 中 每 一 个 单元 对 应 的 是 灾难 对 相应 的 资源 所 存在 的 潜在 风险 ， 这 个 矩阵 一 般 
由 灾难 管理 委员 会 建立 。 

4. 制订 灾难 备份 方案 

一 个 完整 的 灾难 备份 方案 应 基于 灾难 备份 需求 分 析 所 得 出 的 各 业务 系统 灾难 恢复 目 
标 ， 主 要 包括 数据 备份 方案 、 备 份 处 理 系统 、 灾 难 备份 中 心 建设 、 规 程 与 管理 制度 。 灾 
难 备份 方案 一 般 分 为 7 个 级 别 : 0 级 (无 异地 异地 备份 )、1 级 (实现 异地 备份 ) 2 级 ( 热 
备份 站 点 备份 )、3 级 〈 在 线 数 据 恢 复 )、4 级 〈 定 时 数据 备份 )、5 级 〈 实 时 数据 备份 )、 
6 级 〈 零 数据 丢失 )。 上 有 具体 内容 见 表 12-2。 

表 12-2 灾难 备份 方案 7 个 等 级 的 比较 表 


级 别 特点 适用 场合 
0 级 : 仅 在 本 地 备份 ， 没 制订 灾难 恢复 计划 ， 不 ”是 所 有 容 灾 方案 的 基础 ， 从 个 人 用 户 
无 异地 备份 具备 真正 灾难 恢复 能 力 ， 成 本 最 低 到 企业 级 用 户 都 广泛 采用 
1 级: 将 关键 数据 备份 到 本 地 ， 后 送 异 地 保存 ， ”作为 异地 容 灾 的 手段 ， 此 方案 在 许多 
实现 异地 备份 ”但 异地 无 可 用 的 备份 中 心 中 小 网 站 和 中 小 企业 中 采用 较 多 
2 级 : 备份 关键 数据 并 存放 到 异地 ， 制 订 相应 的 ”灾难 发 生 后 可 能 会 有 几 天 甚至 几 周 
热 备 份 站 点 灾难 恢复 计划 ， 备 份 介质 采用 交通 运输 方 ” 有 数据 丢失 ， 故 不 能 用 于 关键 数据 的 
备份 法 送 往 异地 ， 在 异地 有 热 备份 中 心 ， 但 保 ” 容 灾 

存 的 数据 是 上 次 备份 的 数据 
3 级 : 通过 网 络 将 关键 数据 备份 并 存放 到 外 地 ， ”备份 站 点 要 保持 持续 运行 ， 对 网 络 要 
在 线 数据 恢复 ”制订 相应 的 灾难 恢复 计划 ， 有 热 备 份 中 心 ” 求 较 高 ， 成 本 有 所 增加 
4 级 : 在 3 级 方案 基础 上 ， 用 备份 管理 软件 自动 ”对 备份 管理 软件 和 网 络 要 求 较 高 ， 导 


定时 数据 备份 ” 通过 网 络 将 部 分 关键 数据 定时 备份 到 异 ” 致 成 本 增加 ， 尚 不 能 满足 关键 行业 对 
地 ， 并 制订 相应 的 灾难 恢复 计划 关键 数据 容 灾 的 要 求 
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级 别 特点 适用 场合 
5 级 : 在 前 几 级 容 灾 方案 的 基础 上 使 用 硬件 镜像 ” 婚 能 保证 当前 交易 正常 进行 ， 又 能 实 


实时 数据 备份 ”技术 和 软件 的 数据 复制 技术 ， 关 键 应 用 使 ”时 复制 交易 的 数据 到 异地 ， 是 目前 应 
用 双重 在 线 存储 ， 减 少 了 数据 的 丢失 量 ， ”用 最 广泛 的 方案 


降低 了 业务 的 恢复 时 间 
6 级 : 利用 专用 网 络 将 关键 数据 同步 镜像 到 备份 ”投资 大 ， 适 合资 金 实 力 雄 厚 的 大 型 企 
零 数据 丢失 中 心 ， 数 据 在 本 地 和 异地 都 要 进行 确认 ， ” 业 和 电信 和 企业， 适合 交易 较 少 或 非 实 
恢复 速度 最 快 ， 实现 零 数据 丢失 时 交易 的 关键 数据 系统 ， 目 前 采用 此 


方案 的 用 户 不 多 


12.0 灾难 备份 技术 


-- 12.6.1 灾难 备份 中 心 、， 

企业 最 为 宝贵 的 财富 就 是 数据 ， 大 量 有 关 生 产 、 销 售 、 服 务 、 管 理 的 业务 信息 数据 
是 企业 珍贵 无 比 、 生 死 做 关 的 关键 资产 ， 它 维系 着 整个 公司 和 企业 的 生存 发 展 。 由 于 灾 
难 无 法 避免 ， 由 灾难 引起 的 数据 丢失 ， 对 所 有 的 企业 组 织 来 说 无 疑 是 一 场 灾难 。 这 种 灾 
难 除了 给 企业 带 来 巨大 的 经 济 损失 ， 甚 至 有 可 能 动 播 企业 的 生存 基础 。 据 调查 显示 ， 只 
有 6% 的 公司 ， 企 业 可 以 在 数据 丢失 之 后 生存 下 来 ，43% 的 公司 会 彻底 关闭 。 可 见 企业 
享受 因为 信息 化 带 来 的 快捷 的 服务 和 方便 的 管理 时 ， 也 必须 面 对 数 据 丢 失 的 风险 ， 容 灾 
是 确保 信息 安全 的 一 个 关键 策略 。 如 何 确保 数据 信息 系统 在 最 短 的 时 间 内 恢复 是 企业 面 
临 的 最 大 挑战 

灾难 备份 中 心 是 为 了 确保 重要 信息 系统 的 数据 安全 和 关键 业务 可 以 持续 服务 ， 提 高 
抵御 灾难 的 能 力 ， 减 少 灾难 造成 的 损失 而 建设 的 数据 备份 系统 。 灾 难 备份 系统 是 整个 信 
息 系统 的 有 机 组 成 部 分 ， 而 不 是 游离 于 生产 系统 之 外 的 一 个 独立 系统 ， 更 不 是 一 个 可 有 
可 无 的 东西。 数据 灾难 备份 服务 起 源 于 20 世纪 70 年 代 ， 目 前 在 发 达 国家 已 成 为 信息 工 
业 中 增长 最 快 的 行业 之 一 。 

目前 ， 灾 难 备份 的 主要 行业 应 用 是 :在 政府 或 企业 的 信息 数据 中 心 遭 遇 自 然 灾 难 或 
人 为 侵害 时 ， 启 用 同城 或 异地 建立 的 备份 数据 中 心 提供 不 间断 的 数据 信息 服务 ， 从 而 保 
证 政府 或 企业 的 业务 连续 性 。 在 政府 、 人 金融、 电信、 交通、 能 源 、 公 共 服务 业 及 大 型 抽 
造 及 零售 业 等 信息 化 依存 程度 高 的 行业 ， 灾 难 备份 应 用 极其 广泛 。 

目前 灾难 备份 中 心 的 建设 模式 有 以 下 3 种 : @ 自 建 灾难 备份 中 心 模式 ，@ 共 建 灾难 
备份 中 心 模式 ，@ 服 务 外 包 模 式 。 


@-- 12.6.2” 灾 难 备份 与 恢复 技术 - 


\ 
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真正 的 灾难 备份 必须 满足 以 下 三 大 要 素 : 四 元 余 性 (Redundance), 即 系统 中 的 部 件 、 
数据 都 应 该 具备 元 余 性 ， 当 某 个 系统 发 生 故 障 时 ， 另 一 个 系统 能 够 确保 数据 传送 的 顺畅 
性 ; @ 长 距离 性 〈Remote)， 由 于 灾害 总 是 发 生 在 一 定 范围 内 ， 因 而 保持 足够 长 的 距离 
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才能 保证 数据 不 会 被 同一 个 灾害 全 部 毁坏 ; @ 可 复制 性 (Replication)， 灾 难 备份 系统 追 
求全 方位 的 数据 复制 。 

灾难 备份 的 目的 是 确保 灾难 发 生 后 业务 立即 恢复 ， 应 用 能 够 尽快 投入 使 用 ， 采 用 的 
各 种 技术 不 论 是 数据 备份 、 数 据 复制 还 是 灾难 备份 技术 ， 都 是 围绕 着 业务 的 连续 性 来 进 
行 ， 这 些 技术 是 灾难 备份 的 关键 环节 。 而 衡量 这 些 技术 标准 就 是 RPO (Recovery Point 
Object， 恢 复 点 目标 ) 和 RIO (Recovery Time Object， 恢 复 时 间 目 标 )， 也 就 是 出 现 灾 难 
的 时 候 多 长 时 间 可 以 让 业务 继续 运作 , 同时 会 丢失 多 长 时 间 的 数据 。 具体 采 用 哪 项 技术 ， 
完全 要 根据 实际 需求 ， 再 结合 各 种 技术 能 够 达到 的 RTO 和 RPO 指标 来 决定 ， 需 要 说 明 
的 是 ， 追 求 两 个 技术 指标 都 是 零 的 做 法 是 不 经 济 的 ， 也 是 不 现实 的 ， 任 何事 情 都 要 考虑 
投入 产 出 比 和 回报 。 

一 个 完整 的 灾难 备份 系统 主要 由 数据 备份 系统 、 备 份 数据 处 理 系统 、 备 份 通信 网 络 
系统 和 完善 的 灾难 恢复 计划 构成 。 其 中 ,数据 备份 是 整个 系统 的 关键 ,如 何 将 系统 数据 、 
应 用 数据 和 业务 数据 等 完整 、 实 时 地 复制 到 灾难 备份 中 心 ， 是 整个 灾难 备份 系统 首先 要 
重点 考虑 到 的 。 目 前 ， 比 较 流 行 的 数据 实时 复制 技术 主要 有 两 种 : 数据 备份 技术 和 数据 
存储 备份 技术 。 典 型 的 灾难 备份 系统 如 图 12-1 所 示 。 


应 用 服务 器 应 用 服务 器 


/sr 世 . 
) 昌 量 昌 


磁带 机 


备 分 服务 器 应 用 服务 器 
12-1 典型 的 灾难 备份 系统 


@-- 12.6.3” 数 据 备份 技术 


\ 
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数据 备份 技术 主要 包括 基于 磁盘 系统 的 灾难 备份 技术 、 基 于 软件 方式 的 灾难 备份 技 
术 和 其 他 灾难 备份 技术 的 解决 方案 3 类 。 


1. 基于 磁盘 系统 的 灾难 备份 技术 


基于 磁盘 系统 的 远程 数据 备份 技术 是 以 磁盘 系统 为 基础 ， 采 用 硬件 数据 复制 技术 ， 
借助 磁盘 控制 器 提供 的 功能 ， 通 过 专线 实现 物理 存储 器 之 间 的 数据 交换 。 这 种 方式 的 优 
点 是 ， 它 独立 于 主机 和 主机 操作 系统 ， 不 占用 主机 的 CPU、 主 机 通道 和 网 络 资源 ， 对 主 
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机 透明 ， 也 不 需要 对 现 有 应 用 系统 做 任何 改动 。 


基于 磁盘 系统 的 灾难 备份 技术 可 采用 以 下 两 种 方式 工作 : 同步 数据 复制 模式 和 异步 


数据 复制 模式 ， 见 表 12-3。 
表 12-3 基于 磁盘 系统 的 灾难 备份 技术 工作 方式 


工作 方式 


技术 特点 


优 缺 点 


同步 数据 复制 模式 


异步 数据 复制 模式 


来 自 处 理 器 的 更 新 数据 在 写 入 本 地 
连接 的 磁盘 系统 之 前 , 通过 磁盘 镜像 
技术 ,将 更 新 数据 转发 至 异地 的 磁盘 
系统 ， 只 有 更 新 数据 在 两 个 磁盘 系统 
完成 写 操作 后 ， 本 地 磁盘 系统 才 会 向 
处 理 器 返回 写 完成 指令 ,从 而 保证 了 
两 地 磁盘 系统 数据 的 一 致 性 和 完整 
性 ， 即 无 数据 丢失 

来 自 处 理 器 的 更 新 数据 首先 被 写 入 
本 地 连接 的 磁盘 系统 ， 并 立即 向 处 理 
器 返回 一 个 IO 写 完 成 指令 ， 之 后 磁 
盘 镜像 系统 在 很 短 的 时 间 内 ， 将 更 新 
数据 发 送 至 异地 的 磁盘 系统 。 该 模式 
在 软件 灾难 备份 技术 中 广泛 使 用 , 而 
硬件 灾难 备份 技术 一 般 不 采用 


优点 : 远 端 数据 与 本 地 数据 的 实时 性 
强 ， 灾 难 发 生 时 远 端 数据 与 本 地 数据 
完全 同步 

缺点 ， 本 地 的 交易 受 网 络 的 影响 较 大 
应 用 系统 将 会 因 等 待 IO 写 操作 而 被 
延迟 ， 致 使 本 地 的 IO 访问 效率 下 降 ， 
另外 , 此 模式 的 数据 传输 距离 较 短 (一 
般 专 线 距离 在 60 千 米 以 内 ) 

优点 : 对 应 用 程序 的 运行 性 能 影响 较 
小 ， 不 影响 本 地 的 交易 ， 传 输 距离 可 
长 达 1000 千 米 以 上 ， 受 远程 网 络 的 影 
响 较 小 

缺点 : 远程 磁盘 系统 的 数据 比 本 地 磁 
盘 系 统 的 数据 略 有 一 个 时 间 延 迟 ， 若 
远程 网 络 带宽 较 小 ， 网 络 阻塞 较 大 


2. 基于 软件 方式 的 灾难 备份 技术 


软件 方式 的 灾难 备份 技术 是 基于 操作 系统 级 的 灾难 备份 解决 方案 。 其 特点 是 与 操作 
系统 平台 相关 ， 而 对 应 用 程序 是 透明 的 。 此 方式 通过 通信 网 络 ， 实 现 数据 在 两 个 不 同 地 
点 之 间 的 实时 备份 。 


3. 其 他 灾难 备份 技术 的 解决 方案 


目前 ， 各 大 知名 数据 业务 公司 都 相继 推出 自己 的 灾难 备份 技术 解决 方案 ， 如 通过 磁 
带 库 技术 实现 数据 远程 备份 解决 方案 ，Sybase、Oracle 的 数据 库 镜像 技术 解决 方案 等 。 


人 -12.6.4 数据 的 存储 技术 、 
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灾难 备份 的 另 一 项 关键 技术 是 数据 的 存储 备份 技术 。 其 中 ， 提 高 灾难 备份 系统 性 能 
最 重要 的 指标 就 是 存储 优化 。 目 前 , 常用 的 存储 优化 技术 有 DAS(Direct Attached Storage， 
直接 连接 存储 )、NAS (Network Attached Storage， 网 络 连接 存储 ) 和 SAN (Storage Area 
Network， 存 储 区 域 网 络 )。 


1. DAS 存储 结构 


DAS 是 最 早 用 于 网 络 的 存储 系统 ， 它 以 服务 器 为 中 心 。 如 图 12-2 所 示 , 在 DAS 中， 
数据 被 存储 在 各 服务 器 的 磁盘 族 或 磁盘 阵列 等 存储 设备 中 。 
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LAN 


应 用 程序 
文件 系统 
存储 系统 


图 12-2 DAS 的 存储 结构 


DAS 依赖 服务 器 主机 操作 系统 进行 数据 的 IO 读 写 和 存储 维护 管理 ， 数 据 备份 和 恢 
复 要 求 占用 服务 器 主机 资源 (包括 CPU、 系 统 IO 等 )， 数 据 流 需要 回流 主机 青 到 服务 器 
连接 着 的 磁带 机 〈 库 )， 数 据 备份 通常 占用 服务 器 主机 资源 的 20% 一 30%， 因 此 为 了 避免 
影响 正常 业务 系统 的 运行 ， 许 多 企业 用 户 通常 在 夜间 或 业务 系统 不 繁忙 时 进行 日 常数 据 
的 备份 。 

DAS 与 服务 器 主机 之 间 通 常 采用 SCSI 连接 , 带宽 一 般 为 10MB/s、20MB/s、40MB/s、 
80MB/s 等 ， 随 着 服务 器 中 央 处 理 器 的 处 理 能 力 越 来 越 高 ， 存 储 硬盘 空间 越 来 越 大 ， 阵 列 
的 磁盘 数量 越 来 越 多 ，SCSI 通道 将 会 成 为 IO 瓶颈 。 

DAS 的 数据 量 越 大 ， 备 份 和 恢复 的 时 间 就 越 长 ， 对 服务 器 硬件 的 依赖 性 和 影响 就 越 
大 。 其 优点 是 存 取 速 度 快 、 建 立方 便 ; 但 也 存在 一 些 明显 的 缺点 ， 如 单 点 错误 问题 、 扩 
展 困难 等 。 

(1) 单 点 错误 问题 

即 当 网 络 上 某 一 设备 出 故障 时 ， 这 将 导致 整个 网 络 都 将 无 法 正常 工作 。 解 决 方案 是 
使 多 个 服务 器 共享 一 个 存储 系统 ， 形 成 如 图 12-3 所 示 的 直接 连接 共享 存储 系统 。 


LAN 


图 12-3 直接 连接 的 共享 式 存储 系统 的 存储 结构 


(2) 扩展 困难 

虽然 可 以 通过 添加 设备 的 方式 增 大 存储 容量 ， 但 因 各 种 计算 机 外 部 设备 都 连接 在 通 
用 服务 器 上 , 而 标准 计算 机 可 连接 的 存储 设备 的 接口 有 限 , 添加 设备 也 需要 较 高 的 费用 ; 
此 外 ， 因 添加 设备 后 会 出 现 所 有 服务 器 都 试图 访问 存储 设备 的 情况 , 势必 造成 网 络 拥塞 ， 
降低 了 其 可 靠 性 、 安 全 性 和 稳定 性 。 
因此 ，DAS 的 存储 结构 有 明显 的 局 限 性 ， 它 适合 小 型 企业 ， 而 不 适合 大 企业 数据 吞 
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吐 量 较 大 、 并 发 用 户 数量 较 多 的 需求 。 
2. NAS 存储 结构 


如 图 12-4 所 示 ，NAS 是 一 种 采用 直接 与 网 络 介质 相连 的 特殊 设备 实现 数据 存储 的 
机 制 ， 它 以 数据 为 中 心 ， 将 存储 设备 与 服务 器 彻底 分 离 〈 数 据 的 存储 与 处 理 功能 分 离 )， 
服务 器 只 用 于 处 理 数据 ， 而 文件 服务 器 只 用 于 存储 数据 。 这 就 是 NAS 存储 系统 的 特点 ， 
其 开发 目的 是 在 不 消耗 大 量 网 络 带 宽 的 情况 下 实现 存储 功能 ， 这 种 存储 结构 可 完全 脱离 
服务 器 就 能 直接 上 网 。NAS 本 身 能 够 支持 多 种 协议 (如 NFS、CIFS、FTP、HTTP 等 )， 
而 且 能 够 支持 各 种 操作 系统 。 通 过 任何 一 台 工 作 站 ， 采 用 正 或 Netscape 浏览 器 就 可 以 
对 NAS 设备 进行 直观 方便 的 管理 。 
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文件 服务 器 主 服务 器 


12-4 NAS 的 存储 结构 


NAS 存储 系统 有 很 多 优点 ， 主 要 表现 在 以 下 几 个 方面 。 

(1) 数据 存储 和 数据 处 理 功能 分 离 ， 消 除了 网 络 的 带宽 瓶颈 。 当 网 络 服务 器 崩溃 时 ， 
用 户 仍 能 访问 NAS 设备 中 的 数据 ， 当 NAS 故障 时 ， 网 络 上 与 主 服务 器 相关 的 其 他 操作 
也 不 会 受到 影响 ， 甚 至 更 新 或 替换 存储 设备 时 也 不 需 关 闭 整个 网 络 。 

(2) NAS 设备 不 依赖 于 通用 的 操作 系统 ， 而 是 采用 了 站 服务 器 (Thin Server) 技术 ， 
应 用 于 高 效 的 文件 共享 任务 中 , 不 同 的 主机 与 客户 端 通过 文件 共享 协定 存 取 NAS 上 的 数 
据 ， 实 现 文件 共享 功能 。 例 如 UNIX 中 的 NFS 和 Windows NT 中 的 CIFS， 其 中 基于 网 
络 的 文件 级 锁定 提供 了 高 级 并 发 访问 保护 的 功能 。 

(3) 实现 简单 。NAS 存储 结构 成 本 较 低 、 易 于 安装 、 管 理 和 扩展 、 使 用 性 能 和 可 靠 
性 均 较 高 ， 适 用 于 那些 需要 通过 网 络 将 文件 数据 传送 到 多 台 客 户 机 上 的 用 户 。NAS 设备 
在 数据 必须 长 距离 传送 的 环境 中 可 以 很 好 地 发 挥 作用 。 


3. SAN 存储 结构 


当 DAS 和 NAS 在 访问 存储 设备 时 ， 必 须 经 过 LAN。 在 LAN 中, 不 仅 要 由 LAN 连 
接 多 台 服 务 器 和 大 量 客户 机 端的 设备 、 还 要 连接 存储 设备 、 协 调 客户 机 /服务 器 的 数据 。 
此 外 , 随 着 备份 数据 和 数据 复制 需求 的 大 幅 增 长 , 连接 服务 器 与 存储 设备 的 SCSI (Small 
Computer System Interface) 接口 由 于 受 距离 、 连 接 端口 数 和 带宽 的 限制 ， 容 易 因 超 载 而 
产生 瓶颈 。 

图 12-5 是 SAN 的 结构 示意 图 。SAN 是 一 种 专用 高 速 网 络 或 子 网 络 ， 用 于 连接 服务 
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器 和 存储 装置 (大 容量 磁盘 阵列 和 备份 磁带 库 ), 提供 在 计算 机 与 存储 系统 之 间 的 数据 传 
输 。 这 种 连接 是 基于 固有 的 FC 通道 (Fiber Channel, 光纤 通道 ) 和 SCSI 技术 , 通过 SCSI 
到 FC 通道 转换 器 和 网 关 , 一 个 或 多 个 FC 通道 交换 机 在 主 服务 器 与 存储 设备 之 间 提 供 相 
互联 接 ， 形 成 一 种 特殊 的 高 速 网 络 。 一 个 SAN 网 络 由 负责 网 络 连接 的 通信 结构 、 负 责 
组 织 连接 的 管理 层 、 存 储 部 件 以 及 计算 机 系统 构成 ,从 而 保证 数据 传输 的 安全 性 和 力度 。 
可 以 把 SAN 看 成 是 LAN 之 下 的 第 二 网 络 ， 它 不 涉及 LAN 的 具体 操作 。 


存储 器 


12-5 ”SAN 的 结构 


SAN 具有 如 下 优点 。 

(1) 使 用 FC 通道 调节 技术 来 优化 存储 器 与 服务 器 之 间 的 数据 快 传输 ， 通 过 支持 存 
储 器 与 服务 器 之 间 进 行 大 容量 数据 块 传递 软件 ， 减 少 了 发 送 对 数据 块 的 分 割 ， 也 减少 了 
对 通信 节点 的 预 处 理 ， 从 而 具有 更 快 的 响应 速度 和 更 高 的 数据 带宽 。 

(2) 高 性 能 的 FC 交换 机 和 FC 网 络 的 使 用 确保 了 设备 连接 的 可 靠 性 和 高 效率 ,提高 
了 容错 度 。 

(3) 利用 多 条 FC 链 路 建立 元 余 通道 ， 保 证 了 传输 链 路 的 可 靠 性 ， 通 过 SAN 内 部 的 
FC 网 络 建立 多 层次 的 存储 备份 体系 , 保证 了 系统 的 高 可 靠 性 , 这 都 保证 了 企业 的 数据 完 
整 性 、 可 靠 性 和 安全 性 要 求 。 

(4) 基于 网 络 的 存储 虚拟 化 ， 将 主机 与 存储 的 联系 断 开 ， 可 动态 地 从 集中 存储 中 分 
配 存储 量 。 虚 拟 存储 的 可 伸缩 性 简化 了 网 络 服务 的 使 用 和 可 扩展 性 ， 也 提高 了 硬件 设备 
的 初期 回报 。 

(5) 提供 高 效 的 故障 恢复 环境 ， 大 大 提高 了 应 用 软件 的 可 用 性 。 

(6) 安装 容易 、 快 速 ， 对 服务 器 的 要 求 降低 ， 可 大 大 降低 服务 器 的 成 本 ， 有 利于 高 
性 能 存储 系统 在 更 广 的 范围 内 普及 及 应 用 。 
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4. SAN 与 DAS、NAS 的 比较 


从 图 12-4 和 图 12-5 右 侧 的 比较 中 可 看 出 ，DAS 的 应 用 程序 与 存储 系统 是 一 体 的 ， 
通过 系统 总 线 可 访问 存储 设备 ; 传统 的 NAS 是 应 用 与 存储 分 离 的 系统 , 应 用 服务 器 通过 
LAN 访问 文件 存储 系统 ， 通 常 NAS 以 标准 化 协议 (如 NFS) 提供 服务 ; 在 SAN 中 , 文 
件 系统 与 存储 系统 完全 分 离 ， 存 储 系统 实际 上 成 为 运行 应 用 程序 的 数据 服务 器 ， 两 者 以 
高 速 光 纤 通 道 FC 连接 ， 如 图 12-6 所 示 。 


DAS 
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12-6 DAS、NAS 和 SAN 的 比较 
DAS、SAN 和 NAS 组 织 图 如 图 12-7 所 示 。 
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图 12-7 DAS、SAN、NAS 组 织 图 
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NAS 允许 多 台 计 算 机 经 过 网 络 访问 同一 个 文件 系统 ， 并 且 会 自动 同步 它们 的 操作 。 
由 于 NAS head 的 引入 使 得 SAN 存储 可 以 容易 地 转换 为 NAS。 尽管 NAS 和 SAN 有 所 区 
别 , 但 还 是 有 方法 可 以 提供 两 项 技术 均 被 包括 在 内 的 混合 应 用 解决 方案 。 图 12-8 描述 了 
使 用 了 DAS、NAS 和 SAN 技术 的 混合 解决 方案 。 


FS Ethernet 
CIFS 
ee 


SN 


12-8 使 用 了 DAS、NAS 和 SAN 技术 的 混合 解决 方案 


典型 的 SAN 是 一 个 企业 整个 计算 机 网 络 资源 的 一 部 分 , 它 支 持 磁盘 镜像 技术 、 备份 
与 恢复 、 档 案 数 据 的 存档 和 检索 、 存 储 设 备 间 的 数据 迁移 以 及 网 络 中 不 同 服务 器 间 的 数 
据 共 享 等 功能 ， 通 常 与 其 他 计算 资源 紧密 结合 来 实现 远程 备份 和 档案 存储 过 程 

综 上 所 述 ，SAN 和 NAS 是 当今 两 种 主流 的 网 络 存 储 技术 ， 它 们 克服 了 传统 存储 技 
术 的 缺点 ， 必 将 占有 未 来 存储 系统 的 主导 地 位 。 


- HGS5=nCDR 连续 数据 保护 技术 、 


1. CDP 连续 数据 保护 技术 的 概念 


CDP (Continuous Data Protection， 持 续 数据 保护 技术 是 目前 最 热门 的 数据 保护 技 
术 ， 是 对 传统 数据 备份 技术 的 一 次 革命 性 的 重大 突破 。 传 统 的 数据 备份 解决 方案 专注 在 
对 数据 的 周期 性 备份 上 ， 因 此 一 直 伴 随 有 备份 窗口 、 数 据 一 致 性 以 及 对 生产 系统 的 影响 
等 问题 。 现 在 ，CDP 为 用 户 提供 了 新 的 数据 保护 手段 ，CDP 系统 会 不 断 监测 关键 数据 的 
变化 ， 不 断 地 自动 实现 数据 的 保护 系统 ， 管 理 员 无 须 关 注 数据 的 备份 过 程 ， 而 是 仅 当 灾 
难 发 生 后 ， 简 单 地 选择 需要 恢复 到 的 时 间 点 即 可 实现 数据 的 快速 恢复 。 

CDP 技术 可 以 捕捉 到 一 切 文件 级 或 数据 块 级 别 的 数据 写 改动 , 可 以 对 备份 对 象 进行 
更 加 细 化 的 粒度 的 恢复 ， 可 以 恢复 到 任意 时 间 点 ， 通 过 在 操作 系统 核心 层 中 植 入 文件 过 
滤 驱 动 程序 来 实时 捕获 所 有 文件 访问 操作 。 对 于 需要 CDP 连续 备份 保护 的 文件 , 当 CDP 
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管理 模块 经 由 文件 过 滤 驱 动 拦截 到 其 改写 操作 时 ， 则 预先 将 文件 数据 变化 部 分 连同 当前 
的 系统 时 间 戳 一 起 自动 备份 到 UnaCDP 存储 体 。 从 理论 上 说 ， 任 何 一 次 的 文件 数据 变化 
都 会 被 自动 记录 ， 因 而 称 之 为 持续 数据 保护 。 


2. CDP 与 传统 备份 技术 的 对 比 


传统 的 备份 技术 一 般 为 手动 备份 或 定时 备份 ， 效 果 非 常 有 限 。 典 型 的 手动 备份 流程 
是 : 每 日 凌晨 进行 一 次 增 量 备份 ， 然 后 每 周末 凌晨 进行 全 备份 。 采 用 这 种 方法 ， 一 旦 出 
现 了 数据 灾难 ， 用 户 可 以 恢复 到 某 一 天 的 数据 ， 因 此 在 最 坏 的 情况 下 ， 可 能 丢失 整整 一 
天 的 数据 。 定 时 备份 技术 比 手动 备份 技术 先进 了 不 少 ， 它 属于 自动 备份 的 技术 范畴 ， 通 
常 为 若干 小 时 自动 备份 一 次 ， 比 如 : 每 6 小 时 备份 一 次 。 如 果 数 据 灾难 发 生 了 ， 用 户 可 
以 恢复 到 若干 小 时 之 前 的 数据 ， 在 最 坏 的 情况 下 ， 可 能 丢失 6 小 时 内 的 数据 。 但 是 对 于 
数据 量 不 断 变化 增长 的 用 户 来 说 ， 每 一 份 数据 的 丢失 都 会 造成 巨大 的 利益 损失 。 

于 是 ， 用 户 就 希望 能 继续 缩小 备份 时 间 单 位 ， 如 每 小 时 甚至 每 分 钟 备 份 一 次 。 传 统 
的 备份 技术 对 这 个 问题 是 无 能 为 力 的 , 而 CDP 正 是 为 了 解决 这 个 问题 而 出 现 的 ， 它 能 做 
到 连续 的 数据 保护 。 

CDP 技术 是 一 种 连续 捕获 和 保存 数据 变化 ,并 将 变化 后 的 数据 独立 于 初始 数据 进行 
保存 的 方法 ， 而 且 该 方法 可 以 实现 过 去 任意 一 个 时 间 点 的 数据 恢复 。CDP 系统 可 能 基于 
块 、 文 件 或 应 用 ， 并 且 为 数量 无 限 的 可 变 恢 复 点 提供 精细 的 可 恢复 对 象 。 因 此 ， 所 有 的 
CDP 解决 方案 都 应 当 具 备 以 下 几 个 基本 的 特性 。 

(1) 数据 的 改变 受到 连续 的 捕获 和 跟踪 。 

(2) 所 有 的 数据 改变 都 存储 在 一 个 与 主 存储 地 点 不 同 的 独立 地 点 中 。 

(3) 恢复 点 目标 是 任意 的 ， 而 且 不 需要 在 实际 恢复 之 前 事先 定义 。 

所 以 ，CDP 技术 可 以 提供 更 快 的 数据 检索 、 更 强 的 数据 保护 和 更 高 的 业务 连续 性 能 
而 与 传统 的 备份 解决 方案 相 比 ，CDP 的 总 体 成 本 和 复杂 性 都 要 低 。 


3. CDP 技术 分 类 


CDP 技术 的 分 类 是 相对 于 数据 保护 时 间 点 而 已 的 ， 它 分 为 准 CDP 和 真 CDP 两 种 。 

(1) 准 CDP 

准 CDP (Near CDP) 技术 是 按照 一 定 的 时 间 频 率 持 续 地 记录 并 备份 数据 变化 ， 每 次 
备份 有 一 定时 间 窗 口 ， 需 要 数据 恢复 时 ， 可 以 恢复 到 过 去 备份 的 时 间 点 ， 并 不 能 形成 完 
全 意义 上 的 持续 保护 。 它 的 最 大 特点 是 只 能 恢复 部 分 指定 时 间 点 的 数据 (Fixed Point In 
Time，FPIT)， 有 点 类 似 于 存储 系统 的 逻辑 快照 ， 它 无 法 恢复 任意 一 个 时 间 点 。 目 前 
Symantec、CommVault 的 CDP 都 属于 这 种 类 型 。 

(2) 真 CDP 

真 CDP (True CDP) 技术 是 持续 不 间断 地 监控 并 备份 数据 变化 ， 可 以 恢复 到 过 去 任 
意 时 间 点 (Any Point In Time，APIT)， 是 真正 的 实时 备份 。 目 前 BakBone TrueCDP 属于 
真 CDP 类 型 。 
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一 、 选 择 题 


1. 下 列 哪 一 项 不 属于 发 生 在 本 地 的 中 级 别 
灾难 ? (  ) 
病毒 攻击 
.长 时 间 的 停电 
。 服务 出 错 
.服务 器 故障 
2. 以 下 哪 一 项 不 属于 系统 灾难 恢复 的 准备 

工作 ? (  ) 

A. Internet 信息 服务 

B. 风险 评估 


DNnmr 


题 


C. 备份 介质 数据 
D. 应 付 灾难 准备 


二 、 简 答题 


1. 简 述 制订 灾难 恢复 计划 的 过 程 。 
2. 制订 通告 计划 的 作用 是 什么 ? 
3. 灾难 备份 都 有 哪些 技术 , 其 原理 是 什么 ? 
4. 当前 都 有 哪些 数据 存储 技术 ， 其 优 缺 点 
是 什么 ? 
5. 简 述 CDP 连续 数据 保护 技术 。 
6. 对 灾难 备份 方案 的 7 个 等 级 ， 从 每 个 等 
级 的 特点 和 适用 场合 进行 比较 。 


课 后 实践 与 思考 


1. 描述 您 所 在 的 单位 /组 织 的 灾难 备份 中 心 是 如 何 运作 的 。 
2. 了 解 您 所 在 的 单位 /组 织 是 如 何 对 员工 进行 有 关 灾难 备份 的 培训 的 , 其 效果 如 何 ? 


第 13 章 ” 计 算 机 与 网 络 取证 技术 


本 章 学 习 重 点 : 

。 理解 计算 机 取证 的 含义 

。 学 习 计 算 机 取证 的 技术 及 其 过 程 

。 认识 计算 机 证 据 分 析 方法 

。 学 习 如 何 进行 网 络 取证 

。 使 用 取证 工具 

随 着 计算 机 技术 的 发 展 ， 很 多 网 络 技术 的 成 本 又 然 下 降 。 计 算 设 备 与 通信 设备 的 小 
型 化 ， 以 及 全 球 化 的 影响 ， 计 算 机 技术 对 社会 的 影响 会 越 来 越 高 。 同 时 犯罪 分 子 也 会 更 
容易 运用 计算 机 进行 犯罪 。 基 于 上 述 背 景 ， 计 算 机 取证 技术 应 运 而 生 。 


132 基本 概念 


计算 机 取证 是 以 计算 机 为 基础 的 司法 鉴定 科学 技术 。 通 过 以 计算 机 为 基础 的 资料 作 
为 证 据 ， 涉 及 提取 、 审 查 、 保 存 、 分 析 、 评 价 ， 从 而 为 民事 、 刑 事 、 行 政和 其 他 案件 提 
供 有 关 的 信息 。 简 单 来 说 ， 计 算 机 取证 技术 就 是 在 计算 机 的 存储 介质 ， 如 硬盘 或 其 他 磁 
盘 中 ， 进 行 信息 检索 和 调查 。 

不 同 于 计算 机 取证 ， 网 络 取证 是 从 网 络 存储 设备 中 获取 信息 ， 也 就 是 从 网 络 上 开放 
的 端口 中 检索 信息 来 进行 调查 。 很 多 时 候 ， 网 络 取证 比 计算 机 取证 要 有 麻烦， 当面 对 2 台 
或 3 台 计 算 机 时 , 对 其 进行 拍照 取证 是 很 简单 的 , 而 当 在 网 络 中 面 对 数 千 个 网 络 节点 时 ， 
这 几乎 是 不 可 能 的 。 

计算 机 犯罪 侦查 与 网 络 犯罪 侦查 是 不 一 样 的 。 计 算 机 犯罪 侦查 的 案件 特点 是 以 计算 
机 为 工具 或 以 计算 机 为 目标 的 案件 ， 计 算 机 在 犯罪 过 程 中 扮演 了 很 重要 的 角色 ， 所 有 侦 
查 的 重点 都 围绕 计算 机 而 开展 ， 所 有 与 案件 有 关 的 信息 都 可 以 由 计算 机 的 固定 硬盘 和 移 
动 硬盘 中 提取 出 来 或 推断 出 来 。 

虽然 网 络 取证 是 源 于 计算 机 取证 ， 并 且 两 者 的 目的 都 是 一 样 一 一 破获 案件 ， 但 网 络 
取证 还 是 有 自己 的 特点 ， 主 要 表现 在 以 下 两 个 方面 。 

(1) 在 计算 机 侦查 中 ， 侦 查 员 和 罪犯 对 系统 的 了 解 程度 是 不 一 样 的 ， 一 般 来 说 侦查 
员 相 对 于 罪犯 更 加 了 解 目标 系统 ， 而 网 络 侦查 中 ， 双 方 对 系统 的 理解 程度 是 一 样 的 。 

(2) 在 网 络 取 证 的 很 多 情况 下， 侦查 员 与 罪犯 使 用 的 是 同 种 工具 。 如 今 市 场 上 有 一 
些 获 取 系统 信息 的 安全 工具 , 有 些 人 将 其 用 于 获取 线索 , 而 有 些 人 就 将 其 用 于 非法 牟利 。 
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B32 计算 机 取证 技术 


9 -9325 计算 机 取证 基本 元 素 :、 
犯罪 全 查 中 有 3 个 核心 的 元 素 : 线索 材料 、 与 案件 有 关 的 材料 、 案 件 材料 的 合法 性 。 
由 于 计算 机 取证 与 传统 取证 非常 关 似 ， 因 此 计算 机 取证 中 也 存在 这 儿 个 元 素 。 


1. 线索 材料 


计算 机 犯罪 中 涉及 的 材料 包括 物理 的 和 电子 的 材料 .物理 材料 属于 传统 警方 的 范围 ， 
例如 对 文件 、 信 封 、 箱 子 等 进行 检查 。 而 电子 材料 就 相对 复杂 一 点 ， 其 有 可 能 是 存放 在 
硬盘 中 的 数据 、 电 子 邮件 的 内 容 、 电 子 邮件 的 地 址 、 附 件 和 网 站 日 志文 件 等 ， 也 有 可 能 
是 已 经 删除 掉 的 文件 《计算 机 中 文件 删除 后 是 可 以 恢复 的 因为 常用 的 删除 操作 只 是 将 
其 从 计算 机 的 目录 中 删除 , 而 实际 数据 还 是 存放 在 硬盘 中 ; 还 有 一 种 数据 就 是 加 密 数 据 ， 
获取 这 种 数据 信息 的 难度 相对 要 高 一 些 。 

如 果 计 算 机 是 调查 对 象 的 话 ， 那 么 计算 机 所 有 组 件 的 信息 都 是 要 被 搜查 的 对 象 ， 例 
如 系统 在 操作 过 程 中 会 产生 很 多 管理 信息 、 控 制 信息 等 ， 这 些 对 日 后 的 侦查 都 可 能 起 着 
决定 性 的 作用 。 


2. 相关 信息 


收集 到 上 述 信息 后 ， 下 一 步 就 是 要 确定 哪些 信息 与 案件 相关 。 材 料 的 相关 性 取决 于 
委托 人 、 要 求 的 内 容 和 调查 的 安全 类 型 。 代 理 一 般 有 受害 人 人、 政府、 保险 公司 、 法 院 、 
执法 部 门 等 。 

合法 性 
数据 的 合法 性 问题 与 数据 的 关联 性 问题 是 一 致 的 ， 其 同样 基于 数据 的 认证 过 程 。 


-- 13.2.2“ 计 算 机 取证 过 程 -， 


ese i ee 5 ee te 8 ee ee ee ne ee eel se 0 


计算 机 取证 和 网 络 取证 的 过 程 是 一 样 的 ， 分 为 3 个 步骤 : 寻找 证 据 ，@ 保 存 证 据 
并 确保 其 完整 性 不 受 损坏 ，@ 对 提取 出 来 的 数据 进行 合法 性 认证 ， 具 体 包括 确认 数据 是 
原始 数据 而 没有 经 过 修改 。 


1. 寻找 证 据 

处 理 计算 机 案件 时 ， 必 须要 认 清 收集 证 据 的 困难 程度 。 一 般 证 据 分 为 以 下 几 类 。 
口 痕迹 包括 指纹 、 刀 痛 、 鞋 印 或 其 他 遗留 下 来 的 痕迹 。 

口 生物 痕迹 包括 血迹 、 毛 发、 指甲 过 、 汗 液 等 。 

口 信息 痕迹 保存 在 存储 设备 中 的 二 进 制 数据 等 。 


计算 机 与 网 络 取证 技术 


当 信 息 收 集 完 以 后 ， 侦 查 员 就 要 开始 创建 罪犯 的 轮廓 。 这 时 ， 就 应 该 让 嫌疑 系统 运 
转 一 段 时 间 ， 这 样 有 助 于 证 据 的 收集 。 值 得 注意 的 是 需要 提前 做 好 系统 的 复 本 ， 实 际 上 
运行 的 系统 为 原 系统 的 复 本 ， 而 原 系 统 处 于 停止 运行 的 状态 ， 这 样 做 是 为 了 防止 原 系统 
的 一 些 数据 证 据 由 于 程序 的 运行 而 被 修改 或 者 删除 。 但 这 样 做 的 同时 也 会 有 些 缺 点 ， 例 
如 可 能 会 导致 某 些 正在 运行 的 程序 数据 的 丢失 。 

在 对 系统 进行 数据 取证 的 时 候 ， 要 慎 用 一 些 工具 软件 。 在 使 用 前 要 对 软件 的 优势 与 
劣势 进行 分 析 。 很 多 调查 员 选 择 不 在 系统 上 使 用 任何 软件 ， 防 止 原来 运行 的 软件 受 损 。 
不 过 在 原 系统 的 复 本 系统 里 面 ， 可 以 使 用 这 些 侦查 软件 。 


2. 处 理 证 据 


证 据 的 合法 性 源 于 证 据 的 完整 性 ， 案 件 最 终 的 成 功 与 否 与 侦查 时 所 取得 的 证 据 有 很 
大 关系 ， 与 证 据 是 否 切 合 案件 事实 有 很 大 关系 。 所 以 在 处 理 证 据 的 时 候 ， 需 要 格外 地 小 
心 。 证 据 处 理 包括 证 据 提 取 和 证 据 保 管 ， 证 据 保管 包括 包装 、 存 储 和 和 运输。 在 处 理 这 几 
个 环节 时 ， 要 注意 以 下 问题 ， 便 于 日 后 审查 。 

(1) 证 据 提取 负责 人 及 提取 方法 。 

(2) 证 据 包 装 负责 人 

(3) 证 据 保管 负责 人 、 保 管 方式 以 及 保管 位 置 。 

(4) 证 据 运输 负责 人 。 


3. 证 据 恢 复 


提取 证 据 时 要 尽 可 能 将 所 有 的 证 据 都 收集 到 ， 避 免 重 回 现场 取证 。 具 体 来 说 需要 检 
查 的 资料 涉及 计算 机 硬件 、 软 件 、 文 档 等 内 容 ， 硬 件 方面 包括 计算 机 、 打 印 机 、 扫 描 仪 
和 一 些 网 络 连接 设备 ， 软 件 方面 包括 系统 软件 、 系 统 日 志 、 应 用 程序 软件 和 用 户 具体 使 
用 的 软件 ， 文 档 方面 包括 现场 打印 出 来 的 材料 和 碎 纸 机 里 面 的 纸 导 等， 同时 要 留意 录音 
带 、 移 动 硬盘 等 移动 存储 设备 。 

证 据 提 取 方 式 取决 于 采集 数据 的 大 小 、 采 集 数 据 的 时 间 和 保存 数据 的 时 间 。 对 大 容 
量 硬盘 中 的 证 据 ， 有 必要 在 提取 时 使 用 压缩 和 复制 的 方式 。 一 般 压 缩 方 式 有 两 种 : 无损 
压缩 和 有 损 压缩 。 在 计算 机 取证 中 , 无 损 压 缩 的 工具 一 般 为 WinZip 和 PKZip， 压 缩 时 常 
常 使 用 MD5、SHA-1 算法 ， 或 进行 CRC 校 验 从 而 保证 压缩 数据 的 安全 性 。 

对 于 每 个 项 目 中 提取 的 证 据 ， 要 分 配 一 个 唯一 的 标识 号 ， 并 在 每 一 个 项 目 上 写 出 简 
短 的 介绍 ， 如 证 据 的 提取 地 点 、 提 取 时 间 、 提 取 负 责 人 等 。 也 可 通过 照相 或 摄影 的 方式 
来 保持 现场 的 证 据 ， 最 好 用 摄像 机 将 整个 取证 过 程 拍摄 下 来 ， 这 样 就 增加 了 一 个 现场 
证 据 。 

当 所 有 证 据 都 被 收集 并 分 类 整理 之 后 ， 就 要 将 其 存放 在 一 个 安全 的 位 置 ， 来 保证 证 
据 的 完好 无 损 。 例 如 ， 该 位 置 必须 干燥 干净 ， 并 且 周 围 的 磁性 不 能 太 强 。 还 需要 设置 一 
个 相同 的 复 本 保证 证 据 的 安全 性 。 

取证 时 往往 会 碰 到 一 些 加 密 的 证 据 ， 例 如 加 密 的 电子 邮件 、 数 据 文件 和 硬盘 。 侦 查 
员 可 以 借助 各 种 工具 来 完成 相应 的 解密 工作 ， 对 于 加 密 的 电子 邮件 可 以 使 用 PGP， 对 隐 
藏 的 加 密 文件 可 以 使 用 EMF、Crytext 和 Date Fortess ， 对 硬盘 加 密 可 以 使 用 
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BestCrypt 等 。 
4. 证 据 保 存 


目前 还 没有 一 个 保护 证 据 安 全 的 标准 方法 。 将 证 据 封 装 并 不 能 保证 其 完整 性 ， 可 以 
采取 其 他 存储 措施 长 时 间 地 存储 证 据 。 保 存 电 子 证 据 的 困难 之 一 是 证 据 的 易 失 性 ， 在 进 
行 证 据 保存 时 ， 必 须要 考虑 到 这 个 因素 。 

保存 证 据 需要 注意 以 下 方面 因素 。 

eineonun na ent 确保 封装 后 的 证 据 不 会 被 

过 热 或 过 湿 的 环境 所 影响 。 

ee 对 所 有 嫌疑 存储 介质 做 磁盘 镜像 。 

(3) 条 件 允 许 情 况 下 ， 要 对 证 据 数据 进行 加 密 。 加 密 可 同时 被 侦查 员 和 罪犯 所 用 。 
作为 罪犯 ， 一 般 利 用 加 密 进 行内 容 隐藏 ， 作 为 侦查 员 ， 一 般 利 用 加 密 保证 证 据 的 保密 性 
和 完整 性 。 

(4) 存储 证 据 时 ， 要 对 证 据 执 行 可 信 的 访问 控制 策略 ， 以 确保 证 据 只 能 被 授权 人 员 
使 用 。 


5. 证 据 传输 


信息 证 据 往往 要 进行 多 次 传输 ， 例 如 从 犯罪 现场 传输 到 某 个 安全 位 置 ， 或 传 到 法 院 
等 。 在 传输 过 程 中 必须 要 保证 证 据 完整 性 不 被 破坏 ， 要 注意 防范 数据 传输 过 程 中 可 能 出 
现 的 陷阱 。 证 据 传输 过 程 中 ， 要 注意 以 下 几 点 。 

(1) 由 于 在 传输 过 程 中 ， 可 信 的 内 部 人 员 能 够 接触 到 证 据 ， 因 此 为 保持 监管 ， 应 该 
检查 沿途 所 有 处 理 过 证 据 的 人 员 的 数字 签名 。 

(2) 在 传输 过 程 中 ， 要 使 用 一 些 强大 的 数据 隐藏 技术 ， 例 如 数据 加 密 、 信 息 隐 藏 、 
密码 保护 等 对 证 据 进行 保护 。 

(3) 需要 一 些 方法 能 够 检测 出 信息 证 据 在 传输 过 程 中 是 否 出 现 过 更 改变 动 。 一 般 来 
说 , 校 验 的 方法 有 奇偶 校 验 、 元 余 校 验 与 校 验 和 等 方式 。 随 着 技术 的 进步 , 可 以 利用 Hash 
函数 对 校 验 和 进行 加 密 来 判断 证 据 是 否 有 过 更 改 .被 Hash 函数 进行 加 密 的 校 验 和 叫做 证 
据 的 消息 摘要 。Hash 函数 主要 有 MD5 和 SHA-1 散 列 算 法 ， 利 用 算法 的 不 可 逆 性 可 以 验 
证 证 据 是 否 被 修改 。 


@ -13.2.3 ”计算 机 证 据 分 析 、 


对 证 据 进行 提取 、 标 识 、 存 储 和 传输 之 后 ， 就 要 进行 计算 机 和 网 络 取证 中 最 为 重要 
最 为 耗 时 的 环节 一 一 证 据 分 析 。 在 证 据 分 析 过 程 中 ， 侦 查 员 会 对 提取 的 数据 进行 分 析 来 
确认 犯罪 嫌疑 人 的 行为 模式 、 异 常 文件 签名 、 异 常 行为 等 一 系列 和 案件 相关 的 线索 。 

当 进 行 证 据 保 管 时 ， 实 际 就 是 证 据 分 析 的 开始 。 确 保 所 有 的 证 据 都 已 被 送 往 检验 中 
心 ， 所 有 的 项 目 都 被 放 在 证 据 袋 中 。 证 据 分 析 开 始 前 ， 所 有 的 证 据 认 证 工作 应 该 都 已 经 
结束 。 对 于 每 一 个 磁盘 或 其 他 记录 媒体 ， 必 须要 做 一 个 镜像 ， 目 前 常用 的 此 类 软件 有 
DeriveSpy、EnCase、CaptureIt 和 FTKExplorer。 
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硬盘 处 理 结束 后 ， 下 一 步 就 是 处 理 其 他 的 外 围 设备 、 文 件 和 其 他 所 有 与 本 案 相 关 的 
组 件 。 具 体 使 用 的 工具 将 在 下 面 几 节 介绍 。 选 用 不 同 的 平台 ， 会 导致 证 据 分 析 的 工作 量 
和 分 析 的 质量 不 同 。 


1. 隐藏 的 证 据 


进行 证 据 分 析 时 ， 侦 查 员 会 经 常 遇 到 一 些 不 能 直接 读 取 、 隐 藏 于 系统 中 的 数据 ， 而 
这 些 数 据 往往 隐藏 了 关于 案件 的 重要 信息 ， 需 要 重视 对 待 。 在 系统 中 ， 不 可 见 的 数据 分 
为 以 下 几 部 分 。 

(1) 已 被 删除 的 数据 

系统 中 被 删除 的 数据 是 可 以 用 十 六 进 制 编辑 器 手动 恢复 的 。 一 个 基于 Windows 平台 
的 文件 被 删除 后 ， 其 实 只 是 将 目录 项 的 第 一 个 字母 改 为 一 个 特殊 字符 ， 然 后 将 文件 占用 
的 簇 标 记 为 空 亲 状态， 而 事实 上 文件 中 的 数据 依旧 存储 在 磁盘 上 。 同 样 ，MS-DOS 删除 
文件 的 动作 也 没有 真正 将 文件 删除 ， 只 是 标记 这 些 空间 可 供 重 新 编制 ， 因 此 给 数据 恢复 
提供 了 机 会 。 

(2) 隐藏 的 文件 

数据 隐藏 是 取证 分 析 中 需要 面 对 的 一 个 重大 问题 。 通 常 有 两 种 隐藏 的 情况 。 一 种 情 
况 是 通过 某 些 软件 ， 可 以 将 文件 设 定 为 隐藏 状态 。 另 一 种 情况 是 操作 系统 会 对 用 户 隐 藏 
某 些 文件 和 文件 名 ， 尤 其 是 系统 文件 ， 因 为 对 系统 文件 的 误 操作 可 能 导致 系统 不 能 正常 
和 运行， 事实 上 用 户 不 需要 知道 这 些 系统 文件 的 具体 作用 就 能 进行 系统 操作 。 

基于 以 上 原因 ， 侦 查 员 在 侦查 时 应 谨慎 对 待 系统 内 的 隐藏 程序 ， 隐 藏 的 数据 可 以 帮 
助 侦查 员 挖 掘 更 深层 次 的 线索 。 

(3) 坏 块 

所 谓 坏 块 就 是 硬盘 中 不 可 靠 的 存储 区 域 ， 包 含 大 量 不 良 磁 道 ， 这 些 磁 道 将 被 列举 在 
不 良 磁道 列表 中 ， 任 何 区 域 的 硬盘 都 无 法 使 用 这 些 磁道 。 当 然 这 些 “ 不 良 磁道 ”也 有 可 
能 是 好 的 ， 不 过 操作 系统 不 会 在 这 些 磁道 上 面 进行 读 或 写 的 操作 ， 所 以 犯罪 分 子 就 有 可 
能 将 一 些 好 的 磁道 标记 成 “ 坏 ” 的 ， 从 而 存储 信息 并 达到 隐藏 的 目的 。 因 此 侦查 员 对 所 
有 的 “不 良 磁道 ”进行 检查 之 前 ， 不 要 格式 化 磁盘 ， 因 为 这 样 有 可 能 会 使 “不 良 磁道 ” 
的 隐藏 信息 丢失 。 

(4) 隐 写 术 

隐 写 术 是 一 种 隐藏 信息 方式 , 用 于 防止 信息 被 检测 的 技术 。 隐 写 是 一 种 古老 的 工艺 ， 
用 到 计算 机 技术 上 ， 即 将 要 保护 的 信息 内 丹 至 文本 、 图 像 或 视频 等 具有 大 信息 量 的 文件 
中 ， 使 其 他 人 不 知道 该 信息 的 存在 ， 主 要 目的 就 在 于 分 散 其 他 人 对 隐藏 信息 的 注意 力 。 
因此 ， 为 了 应 对 这 种 情况 ， 侦 查 员 在 取证 调查 时 就 应 该 将 搜查 的 范围 扩大 。 

2. 操作 系统 的 证 据 分 析 

很 多 取证 工具 都 是 针对 特定 平台 的 ， 事 实 上 侦查 员 也 更 喜欢 在 特定 的 平台 上 工作 。 
下 面 介绍 针对 不 同 操作 系统 的 取证 分 析 过 程 。 

(1) Microsoft 文件 系统 

大 多 数 计算 机 取证 工具 都 运用 在 Microsoft 文件 系统 , 在 该 文件 系统 下 的 侦查 分 析 需 
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要 做 到 以 下 几 点 。 

口 在 对 硬盘 信息 进行 映像 之 前 ， 要 对 分 析 平台 的 所 有 文件 进行 病毒 扫描 。 

口 在 建立 硬盘 映像 之 后 ， 继 续 运行 病毒 扫描 ， 包 括 硬盘 驱动 器 的 复 本 。 

口 恢复 所 有 删除 的 文件 ， 将 其 保管 到 一 个 安全 的 位 置 。 

口 对 所 有 恢复 的 证 据 进行 分 析 和 处 理 。 

(2) UNIX 和 Linux 文件 系统 

尽管 用 于 Linux 文件 系统 的 取证 工具 还 很 少 ， 但 目前 还 是 出 现 了 一 些 优 秀 的 Linux 
文件 系统 取证 工具 ， 如 TCT、CTCUTILs 和 TASK。 

值得 注意 的 是 ， 由 于 Linux 和 UNIX 系统 一 般 用 于 服务 器 ， 因 此 很 多 时 候 侦查 员 必 
须 处 理 实时 系统 。 当 处 理 此 类 系统 时 ， 侦 查 员 的 首要 任务 是 维护 系统 中 正在 运行 的 所 有 
数据 ， 保 护 系统 中 运行 程序 的 状态 。 有 具体 的 运行 数据 包括 控制 信息 、 运 行 的 程序 、 网 络 
连接 信息 、 系 统 内 存 数 据 等 。 


13.3 网 络 取证 


对 于 网 络 取 证 来 说 ， 已 经 有 一 套 既 定 的 程序 来 处 理 入 侵 事 件 。 


入 侵 分 析 就 是 对 端口 扫描 以 及 后 门 、 间 谍 软 件 或 木马 等 事件 进行 处 理 ， 及 时 发 现 破 
坏 系 统 安全 的 行为 。 

网 络 安全 的 最 大 危险 就 是 忽视 系统 所 面临 的 威胁 。 黑 客 总 是 在 网 络 攻 防 中 占据 主动 
地 位 ， 会 在 攻击 后 故意 隐藏 作案 工具 。 如 果 不 进 行 入 侵 分 析 的 话 ， 就 不 会 被 检测 到 这 些 
入 侵 工具 ， 而 入 侵 分 析 的 目的 就 是 回答 以 下 问题 ， 谁 进入 了 系统 ， 采 取 何 种 方式 进入 系 
统 ， 发 生 了 什么 事件 ， 该 事件 中 取得 了 哪些 教训 ， 能 否 避 免 同 种 事件 再 次 发 生 。 

完整 的 入 侵 分 析 需 要 一 个 完备 知识 储备 小 组 全 面 分 析 所 有 的 网 络 信息 来 确定 证 据 数 
据 的 位 置 。 证 据 可 能 存在 于 网 络 中 的 任意 位 置 ， 包括 路 由 器 、 防 火 墙 、FTP 与 DNS 服务 
器 文件 、 入 侵 检测 系统 的 日 志文 件 、 系 统 日 志文 件 和 服务 器 的 硬盘 驱动 器 等 。 

入 侵 分 析 的 主要 功能 是 收集 数据 与 分 析 数 据 ， 一 般 提 供 4 种 服务 : 事故 应 急 响 应 预 
案 、 应 急 响 应 、 入 侵 数据 的 技术 性 分 析 、 攻 击 工具 的 逆向 追踪 。 最 后 分 析 得 到 的 数据 都 
应 存放 于 安全 的 存储 空间 内 。 


1. 应 急 响应 预案 


应 急 响 应 预案 应 该 包括 3 部 分 : 监视 与 警报 、 修 复 与 报告 、 追 捕 与 检举 。 在 监视 与 
警报 环节 中 ， 当 有 安全 事件 发 生 时 ， 系 统 会 向 负责 方 进行 报警 ， 很 多 系统 都 已 经 达到 实 
时 监控 与 报告 的 能 力 ; 修复 与 报告 的 目的 就 是 尽快 将 受 损 的 系统 恢复 到 受 损 状 态 之 前 ， 
这 需要 快速 识别 入 侵 并 修复 所 有 已 查 明 的 弱点 或 及 时 阻止 攻击 并 将 该 事件 上 报 给 责任 主 
体 ; 最 后 一 个 环节 是 追捕 与 检举 ， 目 的 在 于 对 事件 进行 监控 ， 当 入 侵 发 生 时 及 时 搜集 证 
据 ， 并 将 证 据 直 接 上 报 给 执法 部 门 。 
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响应 预案 应 列举 出 需要 采用 的 程序 并 为 组 织 成 员 提供 必要 的 训练 ， 使 每 个 员工 都 明 
确 自己 要 做 什么 。 同 时 还 应 说 明 安全 事件 的 优先 级 及 需要 的 关注 程度 。 响 应 预案 是 很 重 
要 的 ， 响 应 预案 设计 得 合理 ， 可 以 清楚 地 说 明 哪些 系统 环境 有 可 能 引起 安全 事件 ， 事 件 
发 生 应 该 采取 哪些 措施 。 

应 急 响 应 预案 最 终 应 包括 一 系列 的 文档 ， 以 记录 系统 的 行为 活动 ， 事 发 前 系统 的 配 
置信 息 ， 以 及 其 他 一 些 相关 信息 等 ， 如 接触 系统 的 人 员 名 单 及 人 员 行 为 、 工 具 的 使 用 及 
工具 使 用 者 。 


2 应急 响应 


事件 应 急 响 应 是 安全 事件 发 生 后 系统 必须 执行 的 安全 行为 的 一 部 分 。 在 应 急 响 应 中 ， 
有 两 个 部 分 是 最 重要 的 一 一 事件 报告 与 事件 控制 。 在 事件 报告 中 ， 侦 查 员 需要 了 解 以 下 
儿 点 : 最 先 发 现 事件 的 人 是 谁 ， 首 先 采取 了 哪些 响应 措施 。 一 般 来 说 首先 采取 响应 措施 
的 一 定 是 第 一 个 发 现 安全 事件 的 人 。 事 件 的 通知 程序 需要 被 纳入 应 急 响应 的 预案 中 。 应 
急 响 应 小 组 可 以 获得 准确 信息 ， 而 且 小 组 内 的 成 员 都 具备 处 理 安全 事件 的 知识 与 技能 ， 
这 些 能 够 有 效 帮助 侦查 员 进 行 工作 。 

事件 控制 就 是 要 尽 可 能 地 阻止 事件 继续 进行 ， 减 小 事件 带 来 的 影响 。 事 件 控制 对 侦 
查 员 也 很 重要 ， 因 为 其 可 以 有 效 地 控制 系统 的 受 损 程度 和 受 影 响 的 系统 数量 。 事 件 控制 
机 制 分 为 以 下 几 个 步骤 : 确定 受 影响 的 系统 ， 拒 绝 攻击 者 访问 ， 移 除 流氓 进程 ， 重 新 获 
取 控 制 。 侦 查 员 应 格外 注意 “重新 获取 控制 ”这 一 步 ， 因 为 重新 获得 控制 后 系统 就 会 恢 
复 到 原 有 的 状态 ， 造 成 线索 的 丢失 ， 所 以 在 获取 控制 前 应 首先 锁定 攻击 者 。 

侦查 员 收 集 完 证 据 后 ， 要 开始 对 系统 进行 重建 ， 具 体 措施 包括 备份 、 安 全 补丁 和 程 
序 重 装 。 由 于 攻击 有 可 能 来 源 于 外 部 也 有 可 能 来 源 于 内 部 ， 因 此 事件 控制 过 程 一 定 要 谨 
慎 进 行 ， 防 止 罪犯 处 于 组 织 内 部 中 。 


3. 入 侵 技术 分 析 


网 络 侦查 中 最 困难 最 耗 时 的 环节 就 是 对 入 侵 行 为 和 入 侵 数据 进行 技术 分 析 。 不 同 于 
计算 机 侦查 取证 ， 网 络 取 证 的 大 部 分 证 据 都 不 在 一 个 主机 或 一 个 存储 设备 中 ， 需 要 搜索 
大 量 的 硬盘 驱动 器 和 大 量 的 计算 机 。 

网 络 取证 中 必须 分 析 网 络 信息 才能 确认 线索 信息 所 在 的 位 置 。 

网 络 中 最 为 重要 的 信息 来 源 是 网 络 服务 提供 商 〈ISP)， 因 为 ISP 记录 着 关于 网 络 连 
接 的 大 量 信 息 。 进 行 网 络 连接 时 ， 首 先 要 经 过 认证 ， 然 后 通过 DHCP 服务 器 动态 分 配 全 
地 址 后 才能 进行 。 其 中 认证 是 由 RADIUS 进行 的 ， 每 认证 一 个 连接 后 ，RADIUS 都 会 将 
其 记录 下 来 ， 以 便 日 后 追查 线索 。RADIUS 的 记录 有 连接 分 配 的 卫 地 址 、 连 接 的 时 间 、 
连接 者 的 号 码 、 登 录 名 等 。ISP 将 这 些 信 息 存 储 起 来 ， 存 储 时 间 一 般 为 一 年 。 

另外 一 个 重要 的 信息 就 是 电子 邮件 ， 因 为 邮件 上 注 明 了 邮件 的 发 信人 地 址 和 收 信人 
地 址 ， 可 以 提供 很 多 线索 。 另 外 ， 为 了 提高 电子 邮件 的 可 行 性 ，PGP 等 技术 得 到 了 广泛 
应 用 ， 在 邮件 服务 器 中 会 保存 具体 的 信息 日 志 ， 这 些 也 可 以 给 调查 员 在 侦查 取证 时 提供 
很 多 帮助 。 
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4. 逆向 追踪 


通常 防范 黑客 的 技术 就 是 抓 取 一 个 有 问题 的 数据 包 ， 然 后 对 其 进行 分 析 ， 从 而 了 解 
数据 包 的 工作 方式 与 原理 ， 最 终 达 到 防御 的 目的 。 这 也 常用 于 反 病 毒 技术 中 ， 通 过 抓 取 
病毒 特征 签名 学 习 病毒 的 工作 方式 ， 最 终 推出 具体 的 反 病毒 方案 。 


133 取证 工具 


本 节 将 介绍 一 些 传统 的 侦查 取证 工具 。 侦 查 员 不 仅 要 选择 可 信 的 工具 ， 还 必须 在 进 
行 工作 前 就 对 这 些 工具 有 充分 的 熟悉 ， 确 保 能 够 在 侦查 过 程 中 熟练 使 用 工具 。 

事实 上 ， 网 络 取证 工具 与 计算 机 取证 工具 是 有 所 不 同 的 ， 网 络 取证 工具 可 能 同时 被 
侦查 员 和 黑客 使 用 ， 而 计算 机 取证 工具 基本 只 用 于 计算 机 取证 。 


6--13:4.1 计算 机 取证 工具 、 


目前 ， 计 算 机 取证 工具 分 为 两 类 : 基于 软件 的 取证 工具 和 基于 硬件 的 取证 工具 。 

1， 基 于 软件 的 取证 工具 

大 多 数 取 证 工具 主要 用 于 证 据 恢 复 和 镜像 ， 分 类 如 下 。 

口 查看 程序 报告 系统 盘 上 的 系统 文件 和 文件 类 型 。 

口 ”驱动 器 镜像 ”普通 的 文件 复制 工具 容易 错过 隐藏 数据 ， 而 取证 软件 可 以 捕获 所 
有 闲置 的 空间 ， 未 分 配 领 域 等 ， 从 而 避免 漏 掉 隐藏 数据 。 

口 磁盘 擦 用 于 强力 清除 磁盘 中 的 所 有 内 容 。 

口 “信息 检索 ”通过 键入 关键 字 对 大 量 数据 快速 遍历 以 寻找 线索 。 

2. 基于 硬件 的 取证 工具 


目前 大 部 分 取证 工具 是 基于 软件 的 ， 但 同时 有 一 些 取 证 工具 是 基于 硬件 的 。 这 些 工 
具 可 能 是 固定 的 , 也 可 能 是 便携 或 轻 量 级 的 。 轻 量 级 的 工作 站 主要 是 基于 笔记 本 电脑 的 。 
具体 使 用 哪 种 工具 要 根据 作案 现场 的 环境 和 取证 的 要 求 。 基 于 硬件 的 工具 还 包括 写 阻 断 
器 ， 该 工具 可 以 使 侦查 员 在 不 关闭 系统 的 情况 下 对 硬件 驱动 器 进行 移 除 和 重 连 接 操作 。 


常见 的 网 络 取证 工具 有 tcpdump 或 strings 命令 。tcpdump 可 以 在 大 量 信息 中 过 滤 个 
别 符合 条 件 的 数据 包 ，strings 命令 可 以 根据 网 络 数据 传递 相应 的 信息 ， 例 如 Snort 就 可 
以 根据 特定 的 网 络 条 件 来 生成 警报 或 其 他 操作 。 

然而 ， 如 果 调 查 人 员 对 要 调查 的 系统 不 甚 了解 的 话 ， 那 么 调查 工作 将 变 得 很 困难 。 
在 这 种 情况 下 ， 需 要 借助 一 些 通用 工具 。 侦查 员 分 析 证 据 的 能 力 会 被 系统 的 权限 所 限制 。 
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大 部 分 商用 的 取证 工具 在 网 络 中 通过 监控 网 络 中 每 个 端口 的 流量 来 监控 内 部 、 外 部 的 网 
络 数据 ， 通 过 这 些 数据 就 可 以 知道 网 络 上 的 用 户 行为 与 行为 对 象 。 

监控 行为 中 的 预警 情报 收集 技术 称 为 “侦查 探 针 ”， 现 在 很 多 标准 的 取证 工具 如 
tcpdump 都 提供 这 些 探 针 ， 当 然 网 络 中 的 探 针 也 有 可 能 来 自 其 他 的 网 络 监控 设备 ， 如 防 
火 墙 ， 入 侵 检测 系统 。 


习题 
， A. AHSH 算法 
人 B. SHAH 算法 
1. 犯罪 侦查 3 个 核心 元 素 中 不 包括 下 列 哪 C. SHHA 算法 
-项 ? ( ) D. HASH 算法 
A. 与 案件 有 关 的 材料 
B. 案件 材料 的 合法 性 二 、 问 答题 
C. 案件 材料 的 逻辑 性 
D. 线索 材料 1. 简 述 计算 机 取证 的 含义 。 
2. 通过 对 校 验 和 进行 加 密 来 判断 数据 是 否 2. 简 述 计算 机 取证 的 技术 及 其 过 程 。 
有 更 改 的 检验 方法 叫做 什么 ? ( ) 3. 思考 如 何 使 用 取证 工具 进行 网 络 取证 。 
Fy 
课 后 实践 与 思考 


计算 机 取证 工具 使 用 方法 介绍 
一 、 评 价 使 用 计算 机 取证 工具 的 需求 
利用 万 能 的 、 灵 活 的 、 精 力 充沛 的 操作 系统 、 文 件 系统 、 版 本 容量 、 自 动 化 的 功能 。 
二 、 掌 握 好 所 要 分 析 的 应 用 文件 的 种 类 


计算 机 取证 工具 的 种 类 如 下 。 

口 硬件 取证 工具 ”从 单一 功能 的 成 分 到 复杂 的 计算 机 系统 和 服务 。 
口 软件 取证 工具 类型、 命令 行 。 

口 图 形 用 户 界 面 经 常用 于 将 数据 从 嫌疑 人 的 光驱 上 变 成 图 像 文件 。 
专用 的 〈SafeBack - Disk acquisition only)， 普 遍 的 (Encase,，FTK) 
Digital Intelligence UltraKit 

Digital Intelligence F.R.E.D. (Forensic Recovery of Evidence Device) 
Digital Intelligence FR.E.D.DILE Forensic Recovery of Evidence Device 
(Diminutive Interrogation Equipment) 

Digital Intelligence FREDL 

Digital Intelligence FRED Sr 

Digital Intelligence FRED M 

DIBS USA 
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三 、 计 算 机 取证 软件 的 工作 


为 了 得 到 罪犯 不 法 记录 的 证 据 ， 计 算 机 取证 要 求 得 到 的 可 能 是 数据 的 逻辑 或 物理 版 
本 格式 ， 或 者 是 用 户 图 形 界面 ， 或 者 是 命令 行 的 获取 ， 以 及 远 距 离 的 信息 获取 。 其 中 物 
理 数 据 要 求 得 到 的 是 整个 驱动 装置 的 信息 ， 逻 辑 数据 是 磁盘 的 部 分 信息 。 
计算 机 取证 工具 的 用 途 : 获取 、 验 证 和 描述 、 抽 取 、 重 建 、 报 告 。 
1. 获取 
(1) 逻辑 数据 版 本 (copy)。 
口 数据 获取 格式 
口 命令 行 获取 
口 图 形 用 户 界 面 获 取 
口 远 距 离 的 获取 
(2) 校 验 。 
(3) 两 种 数据 复制 方法 在 软件 取证 中 的 应 用 。 
口 整个 磁盘 的 物理 复制 
口 部 分 磁盘 的 逻辑 复制 
(4) 千变万化 的 磁盘 取证 形式 。 
从 原始 数据 到 卖主 专用 的 私有 压缩 数据 。 
(5) 使 用 任何 十 六 进 制 的 编辑 器 都 可 以 浏览 到 未 经 修改 的 文件 夹 的 内 容 。 
(6) 现在 能 买 到 的 获取 工具 都 是 具有 将 一 个 文件 分 割 到 好 几 个 小 部 分 的 特征 。 
(7) 每 一 种 计算 机 取证 工具 都 有 一 种 校 验 数据 复制 过 程 的 功能 。 
2. 辨别 和 描述 
(1) 验证 
保证 所 复制 的 数据 的 完整 性 。 
(2) 数据 的 描述 
包括 分 类 和 调查 全 部 的 调查 数据 。 
(3) 验证 使 所 有 的 描述 成 为 正确 的 
如 果 没 有 调查 ， 那 么 就 不 可 能 说 明 数 据 的 作用 。 
(4) 其 他 的 一 些 功能 
口 哈 希 值 ， 如 CRC-32、MD5、Secure Hash Algorithms。 
口 过 滤 ， 即 建立 在 哈 希 值 的 基础 上 的 过 滤 。 
口 分 析 文 件 的 标题 。 根 据 它 们 的 类 型 对 文件 进行 分 类 。 
口 全 国 软件 参考 图 书馆 (NSRL ) 编写 了 已 知 的 文件 名 单 ， 为 各 种 各 样 OSs、 应 用 
和 图 象 。 
口 很 多 的 计算 机 取证 工具 项 目 中 包含 一 些 普通 的 标题 评估 列表 ， 如 这 样 的 文件 : 
可 以 很 清楚 一 个 文件 具有 这 种 文件 扩展 名 是 否 正确 。 
口 大 多 数 的 取证 工具 能 验证 标题 的 评估 过 程 。 
3. 抽取 、 析 出 
很 多 时 候 人 们 会 问 为 什么 要 进行 数据 的 抽取 ， 下 面 是 抽取 数据 的 重要 性 。 
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(1) 在 计算 机 调查 中 恢复 计算 机 原本 的 工作 内 容 。 
(2) 有 时 候 在 调查 的 过 程 中 需要 掌握 很 多 的 工作 内 容 。 
(3) 恢复 数据 往往 在 调查 中 是 第 一 步 。 
(4) 其 他 的 一 些 作 用 。 
口 数据 浏览 
在 进行 数据 浏览 的 过 程 中 ， 应 知道 : 四 数据 被 怎样 的 浏览 时 取决 于 使 用 的 是 什么 样 
的 工具 ， 四 磁盘 间谍 一 一 好 辑 结构 ;，@@ 装 入 ETK 一 一 多 样 性 浏览 器 。 
口 ”关键 字 搜查 
在 关键 字 的 搜索 的 过 程 中 ， 是 很 容易 就 可 以 加 快 分 析 或 调查 的 速度 的 ， 但 是 在 使 用 
关键 字 的 搜索 的 过 程 中 ， 也 需要 掌握 : @ 保 证 恢复 关键 字 的 准确 性 ，@ 这 个 过 程 可 能 会 
非常 的 耗费 时 间 并 且 很 发 杂 ; @@ 必 须 明确 使 用 的 工具 是 否 能 完成 直接 搜索 或 调查 ，@ 四 使 
用 索引 可 以 提升 搜索 的 速度 (但 是 这 需要 更 长 的 分 析 时 间 )。 

口 解压 、 减 压 

这 部 分 工作 的 内 容 : DFTK 能 解压 档案 文件 和 封锁 的 文件 ， 而 装 入 技术 却 不 行 
@ 装 入 技术 要 求 创建 原本 ， 而 解压 技术 则 没有 此 种 规则 。 

口 刻录 

下 面 是 一 些 刻录 的 要 求 和 内 容 以 及 其 重要 性 : @D 重 建 已 删除 的 文件 中 或 其 他 的 一 些 
没有 定位 空间 的 图 标的 信息 ; @@ 可 能 需要 用 到 一 些 文件 标题 中 的 一 些 信息 。 

口 翻译 、 解 密 

下 面 是 对 解密 技术 的 一 些 相关 的 技术 要 求 : 四 很 有 可 能 在 文件 上 ， 隔 离 空间 或 磁盘 
上 的 一 些 数据 等 都 很 重要 ; 加 许多 密码 补救 工具 有 引起 密码 列 出 是 潜在 的 一 个 特点 
(FTK), 引起 密码 库 的 被 攻击 ; @ 如 果 密 码 库 遭 到 工具 ， 就 可 能 会 遭遇 暴力 攻击 的 经 历 。 

口 做 标签 

在 第 一 次 找到 证 据 的 时 候 就 做 一 下 标签 ， 以 方便 下 来 的 引用 或 报告 的 工作 。 

4. 重 构 、 恢 复 机 制 

(1) 重新 构建 犯罪 嫌疑 人 的 驱动 等 来 显示 在 犯罪 或 事故 的 时 间 段 内 ， 嫌 疑 人 在 干 
什么 ? 

(2) 其 他 的 一 些 功能 如 下 。 
口 磁盘 对 磁盘 的 复制 
口 镜像 对 磁盘 的 复制 
口 部 分 对 部 分 的 复制 
口 镜像 对 部 分 的 复制 
(3) 一 些 被 用 作 于 镜像 对 磁盘 的 工具 : SafeBack、SnapBack、EnCase、FTK Imager、 
ProDiscover。 

5. 报告 

(1) 为 了 完成 对 磁盘 取证 的 分 析 和 测试 ， 需 要 建立 一 个 报告 。 

(2) 一 些 其 他 的 作用 。 

口 原 报告 

口 报告 大 概 的 事件 
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(3) 这 份 报告 可 以 作为 调查 的 最 终 的 报告 结果 。 


全 


计算 机 取证 工具 的 一 些 其 他 的 内 容 


(1) 考虑 的 内 容 如 下 。 


回 
口 
El 
口 


灵活 性 

可 靠 性 

可 扩展 性 

在 你 的 工具 中 表 留 一 个 老 版 本 的 库 


(2) 建立 一 个 软件 的 库 , 包括 老 版 本 的 取证 工具 设施 、 操 作 系统 和 其 他 的 一 些 项 目 。 
(3) 基本 的 一 些 策略 : 命令 行 ， 如 DOS、Linux/UNIX 或 者 图 形 用 户 界面 。 


四 、 
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(1) 第 一 个 可 以 从 封装 的 粗 盘 里 或 硬盘 中 读 取 并 分 析 数 据 的 工具 是 用 于 IBM 个 人 
电脑 的 文件 系统 的 MS-DOS 工具 。 

(2) 诺顿 的 磁盘 编辑 器 。 第 一 个 MS-DOS 工具 用 于 计算 机 调查 的 一 种 工具 。 

(3) 优点 。 命 令 行 工具 需要 很 少 的 文件 系统 资源 ， 在 一 种 很 小 的 形势 下 运行 。 

(4) *NIX 的 命令 行 工具 。 此 种 工具 收 到 越 来 越 多 的 家 庭 用 户 的 青睐 ， 很 多 不 同 版 本 
的 操作 系统 可 以 使 用 。 

(5) *NIX 取证 工具 。 


口 
口 


全 加 癌 局 ,日 


可 外电 总 


四 


*NIX 平台 在 很 久之 前 就 成 为 命令 行 操作 系统 的 基础 。 

SMART 很 多 版 本 的 Linux 可 以 被 安装 ，Linux 可 以 分 析 很 多 SMART 的 文件 
系统 ,很 多 的 插入 设施 要 求 敏捷 度 ，SMART 的 十 六 进 制 浏览 器 中 有 一 些 其 他 的 
有 用 的 选择 。 

Helix 一 种 最 简单 开始 适配器 ， 你 可 以 在 一 个 活动 的 Windows 系统 下 载 它 。 
Autopsy 是 图 形 用 户 界面 或 者 是 浏览 器 用 作 于 使 用 SleuthKit’s 的 工具 。 
SleuthKit 是 Linux 取证 工具 。 

Knoopix-STD 一 种 安全 措施 ， 包 括 计算 机 或 者 网 络 取证 的 收集 。 


6) 其 他 的 图 形 用 户 界面 取证 工具 。 


计算 机 取证 的 调查 分 类 。 

帮助 开始 的 调查 。 

它们 大 多 数 的 是 以 一 整套 的 工具 出 现 的 。 

优点 : 很 容易 使 用 ， 可 以 多 任务 处 理 ， 没 有 必要 学 习 旧 的 操作 系统 。 
缺点 : 过 度 的 需要 资源 ， 产 生 必 然 的 一 些 问题 ， 产 生 工具 的 依赖 性 。 


、 计 算 机 硬件 取证 工具 


为 什么 会 产生 计算 机 的 硬件 取证 工具 ， 相 信 很 多 的 计算 机 取证 人 员 都 是 相当 的 清楚 
的 : 随 着 技术 的 变化 的 越 来 越 快 ， 硬 件 最 终 还 是 出 现 了 问题 ， 如 日 程 安排 上 的 设备 的 替 
代 ， 当 计划 预算 时 就 要 考虑 如 果 硬 件 不 再 可 以 用 、 咨 询 和 维护 的 费用 、 设 备 的 更 新 的 费 
用 ， 这 些 都 在 一 步 步 地 将 计算 机 硬件 取证 工具 牵扯 上 计算 机 的 取证 的 舞台 。 
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六 、 取 证 的 工作 区 或 其 环境 


在 安全 维护 人 员 熟 悉 了 解 计算 机 取证 的 不 同 的 类 型 之 后 ， 还 需要 很 好 地 掌握 取证 的 
工具 ， 以 便 在 不 同 的 环境 中 选择 最 好 最 实用 的 取证 设备 ， 只 有 这 样 才能 在 损失 或 花费 最 
小 的 情况 下 保证 取得 证 据 是 准确 的 、 完 整 的 。 

(1) 在 考虑 计算 机 取证 前 ， 在 考虑 取证 的 环境 中 需要 做 到 以 下 的 几 点 要 求 。 

口 认真 地 想 清楚 到 底 需 要 的 是 什么 ? 

口 得 到 的 证 据 的 形态 : 静态 的 ; 动态 的 ， 轻 便 的 。 

口 衡量 一 下 所 需要 的 和 计算 机 系统 可 以 处 理 的 东西 是 否 适 应 。 

(2) 具体 的 集中 取证 的 环境 。 

口 警 务 处 的 实验 室 : 需要 非常 多 的 选择 ， 用 几 台 个 人 的 计算 机 的 去 构造 。 

口 4 人 合作 的 实验 室 : 衡量 一 下 唯一 的 一 种 在 组 织 中 使 用 的 系统 的 类 型 。 

口 除了 一 个 软件 实验 室 还 要 保留 一 个 硬件 实验 室 。 

(3) 分 析 一 下 取证 环境 的 程度 。 

口 它 并 不 是 听 起 来 那么 具有 难度 。 

口 优点 : 满足 需求 的 同时 做 到 节省 开支 。 

口 缺点 : 很 难 找到 问题 支持 的 物件 ， 如 果 不 小 心 ， 很 有 可 能 会 造成 很 大 的 浪费 。 

口 此 外 还 必须 认证 到 底 想 要 去 分 析 的 是 什么 ， 然 后 可 根据 需求 找到 卖主 去 购买 ， 

当 工 具 出 现 问题 时 卖主 很 可 能 解决 燃眉之急 。 

口 运用 一 个 写 阻止 的 工具 : 可 以 很 容易 地 阻止 使 用 者 使 用 任何 的 写 工具 。 

(4) 适用 于 取证 工作 区 的 一 些 推荐 的 方法 

口 要 知道 数据 获取 要 在 什么 地 方 进行 。 

口 知道 数据 获取 的 技术 : USB 2.0，firewire 3。 

口 扩展 设备 需求 ， 其 中 还 必须 使 用 电池 来 提供 能 量 。 

口 如 果 有 受 限 制 的 预算 ， 推 荐 使 用 PCs 等 一 些 其 他 的 方法 。 


七 、 取 证 的 一 些 常见 的 工具 


就 目前 来 看 ， 在 遭受 攻击 的 单位 中 ， 有 很 多 人 员 还 不 知道 自己 遭受 了 攻击 。 许多 人 
相信 ， 主 要 的 攻击 来 自 于 公司 外 部 。 其 实 ， 很 多 重大 的 损害 来 自 于 内 部 。 

那么 ， 安 全 人 员 面 临 的 挑战 就 是 如 何 找到 这 些 攻击 ， 并 判断 其 进入 系统 的 方法 和 途 
径 。 因 为 桌面 用 户 用 得 最 多 的 是 Windows 系统 ， 所 以 要 看 几 个 可 以 针对 这 种 系统 进行 取 
证 的 简单 工具 。 

下 面 列举 了 国外 5 款 著名 免费 计算 机 取证 工具 。 

1. Live View 

使 用 此 软件 首要 的 一 点 是 为 用 户 的 现 有 系统 创建 一 个 虚拟 机 ， 还 要 结合 使 用 开源 的 
Live View 软件 。 此 软件 会 检测 用 户 的 系统 ， 如 果 没 有 检测 到 安装 有 Vmware Server 1.x 
或 工作 站 版 本 的 虚拟 软件 ， 它 会 为 用 户 下 载 一 个 。 

Live View 是 一 个 基于 Java 的 图 形 化 的 取证 工具 ， 它 可 以 创建 原始 磁盘 映像 或 物理 
磁盘 的 一 个 VMware 虚拟 机 。 它 准许 取证 人 员 可 以 启动 这 个 镜像 或 磁盘 ， 并 获得 一 个 交 
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互 性 的 、 用 户 级 的 环境 视图 。 因 为 对 磁盘 的 所 有 更 改 都 被 写 入 一 个 独立 的 文件 ， 检 查 人 
员 可 以 很 快 地 恢复 到 磁盘 的 原始 状态 。 其 最 终 的 结果 是 用 户 不 需要 创建 额外 的 磁盘 映 象 
来 构建 虚拟 机 。 

不 过 ， 目 前 此 软件 仅 支持 Windows 2003、XP、2000 等 系统 ， 对 Linux 也 仅 是 有 限 
支持 。 

2. Opened FilesView 

这 是 一 款 可 以 列 示 系统 上 所 有 基于 本 地 或 网 络 的 文件 。 此 软件 只 有 82.88KB， 其 安 
装 后 的 界面 如 图 13-1 所 示 。 


C: WINDORS\ syst en32\YBEN\Reposi tory\FS\OBJECT, 
Epaeefile. sys Ci\pagefile sys 
回 Psswm zc C:WIDIDOWS\debug\PASSWD.LDG 
Perfib Perfdata 62e. dat 。 5:\DOCWWE~1\new\LOCALSY1\Tenp\Perflib_Perfdat 
国 Povervord dot C:\Documents and Settines\new\Application Dat. 
reconmend_start2[l] htn ~ C:\Documents and Settings\new\Local Settings\ 
CNProgran Files\Thunder Betwork\Thunder\Prog 
C: WINDORS\Softw ur eDi stribution\Repor tingEven. 
C: MIIDOWS\Systen32\Confie\SA 
C: WINDONS\Systen32\Confie\SA. LDG 
C: WINDONS\SchedLey, Txt 
C:\hocunents and Settings\new\Local Settings\ 
C: WINDOWS\Systen32\confie\SecEvent, Evt 
C: WINDORS\Systen32\Confie\SECURITY 
C: WIIDOWS\Systen32\Confi e\SECURITY, LDG 
C: WINDOWS\systen32\shdocww dll 
C: WINDONS\systen32\shdocyw. dl 
C: MWINDORS\systen32\shdocww. dll 
C: WINDOWS\systen32\shdocvw dll 
im C: WINDORS\Svsten32\Confi e\SOFTNARE 


243 Opened files, 1 Selected 


13-1 Opened Files View 的 主 界面 


此 软件 可 穷 举 系统 中 的 所 有 人 句柄。 在 过 滤 了 非 句柄 之 后 ， 它 使 用 临时 设备 驱动 程序 
来 从 内 核 存 储 区 读 取 每 一 个 句柄 。 在 用 户 从 该 软件 退出 之 后 ， 这 个 设备 驱动 程序 又 可 以 
自动 地 将 其 从 系统 中 释放 。 显 然 ， 在 这 一 点 上 ， 这 是 其 他 的 任务 管理 程序 所 不 能 及 的 。 

如 果 用 户 试图 删除 或 移动 或 打开 一 个 文件 时 ， 收 到 了 类 似 于 下 面 的 错误 消息 ， 那 么 
此 软件 就 极为 有 用 :“ 无 法 删除 * 共 享 文件 ， 源 文件 或 目标 文件 正在 使 用 ”。 

此 外 ， 如 果 与 网 络 连接 的 过 程 中 ， 打 开 此 软件 可 以 监视 网 络 进程 ， 如 果 用 户 怀疑 某 
进程 有 问题 ， 可 以 在 其 上 单 击 ， 如 图 13-2 所 示 。 

软件 对 文件 的 多 种 属性 进行 了 描述 ， 如 句柄 、 进 程 ID、 删 除 共享 等 。 在 确信 了 某 句 
柄 是 可 疑 句 柄 之 后 ， 可 以 单 击 OK 按钮 。 再 次 在 此 文件 上 右 击 ， 选 择 Kill Processes Of 
Selected Files 命令 。 

3. HELIX 

此 工具 就 是 大 名 易 易 的 Ubuntu Linux 的 定制 版 本 。 它 不 仅 是 一 个 可 启动 的 CD 工具 ， 
还 可 以 通过 它 启动 进入 一 个 包含 内 核 、 优 秀 的 硬件 检测 程序 以 及 一 些 专用 的 事件 响应 和 
取证 方面 的 应 用 程序 。 
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油 ChN9CSWX5.364u_h=T76 
溥 ChOPVRSD. 364u_h=76 


蔽 dsmon_2003_12.6 
户 dsmon_2008_12 6 
网 ixtasgt. a1 
三 dxtnsft.an1 
€ dxtasft dl 
trans. aa1 
三 dxtrans dll 
€ dxtrans. dl 


Close Selected File Handles 
Kill Processes 0f Selected Files 


Save Selected Itens Ctrlts 
Copy Selected Itens Cultc 


WIML Report ~ Ml Items 
IML Report ~ Selected Itens 


Choose Colunps 
Auto Sire Colunns Ctrltplus 


File Properties 


Befresh 
ET rons 


Bive Essential Conputer,.. 0: Wiy Docunents\Five Essential Conputer Foren, 


硬 Plashi0a ocx 
EC Flashi0a ocx 
< 


它 可 被 用 于 检查 磁盘 ， 看 有 什么 发 生 了 变化 。 系 统 的 取证 关键 是 找到 什么 方面 受到 
了 损害 。 知 道 受 到 了 攻击 是 一 个 方面 ， 而 找 出 这 些 攻 击 者 对 系统 做 了 哪些 手脚 是 至 关 重 


C: \WINDOWS\system32\Macromed\Fl ash\Flashi0a. ocx 
C: \WINDOWS\svstem32\Macr omed\Flash\FlashiOa, ocx 


图 13-2 ”网 络 进程 监视 


- 0xTe0 
。 0x74e 
- 0Dxe 


Ox390 
Dx224 
Ox220 
Dx570 
Ox280 
Dx280 
Dx584 
DxTc4 
Dx1014 
0Dx594 
DxTde 
Dxe54 
Dx4b4 


Sci 


2004-8-8 4 
2004-8-8 4 
2004-8-8 4 
2004-8-8 4 
2008-12-1 1 


要 的 。 这 正 是 此 工具 的 长 处 所 在 。 其 工作 界面 如 图 13-3 和 图 13-4 所 示 。 


HELIX v1.9 (07/13/ 


2007) 


13-3 HELIX 工作 界面 1 
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第 14 革 操作 系统 安全 


理解 操作 条 统 安 全 的 特点 和 好 处 
理解 Windows 和 UNIX 的 基本 安全 设计 
认识 和 处 理 常见 的 安全 风险 
理解 系统 备份 的 重要 性 和 危险 
识别 数据 风险 ， 分 析 控制 每 一 种 风险 的 代价 
根据 对 系统 的 作用 大 小 对 系统 安全 风险 进行 排序 

操作 系统 是 位 于 底层 硬件 与 应 用 程序 之 间 的 一 层 软件 ， 是 用 户 与 硬件 设备 沟通 的 桥 
梁 ， 支 持 用 户 的 各 种 操作 。 操 作 系 统 是 访问 计算 机 资源 时 用 户 和 应 用 程序 相遇 的 中 间 实 
体 ， 为 用 户 提供 了 访问 数据 和 其 他 资源 的 服务 以 及 路 径 。 如 果 操 作 系统 是 不 安全 的 ， 其 
所 处 理 的 任何 资源 的 安全 就 得 不 到 保证 。 

无 论 实施 怎样 的 安全 控制 ， 用 户 首先 需要 理解 操作 系统 是 如 何 保证 资源 安全 的 。 然 
后 ， 以 此 为 基础 构建 更 加 安全 的 平台 。 如 果 对 操作 系统 如 何 解 决 安全 问题 一 无 所 知 ， 就 很 
难 实施 安全 的 控制 。 本 章 主要 介绍 基本 的 操作 系统 安全 并 且 讨论 如 何 识别 常见 的 系统 漏洞 。 


14.1 操作 系统 安全 基础 


@-- 14.1.1 ”操作 系统 安全 术语 和 概念 


操作 系统 最 基本 的 作用 就 是 使 用 户 程序 受 控 地 访问 计算 机 硬件 组 件 。 这 些 组 件 包括 
主 存储 器 、 二 级 存储 器 ， 处 理 器 、 输 入 /输出 设备 以 及 网 络 组 件 。 表 14-1 给 出 了 一 个 操 
作 系统 管理 的 主要 系统 资源 。 


表 14-1 操作 系统 管理 的 主要 系统 资源 
系统 资源 实例 描述 
主 存储 器 随机 存 取 存 储 器 (RAM) ”计算 机 内 的 物理 存储 器 ， 易 被 处 理 器 单元 访问 。 具 有 易 
失 性 ， 断 电 之 后 ， 存 储 器 内 的 内 容 就 会 丢失 
二 级 存储 器 。 磁盘 、 软 盘 、CD-ROM、 ”数据 的 非 易 失 存 储 器 。 包 括 固 定 和 移动 的 ， 随 机 访问 的 


磁带 和 顺序 的 
处 理 器 中 央 处 理 器 (CPU) 命令 执行 地 点 。 一 台 计 算 机 可 以 有 几 个 CPU 和 另外 几 个 
特殊 功能 的 处 理 器 
输入 /输出 设 ” 键盘、 显示器 、 打 印 机 、 ”从 计算 机 外 部 收集 数据 或 将 数据 输出 到 计算 机 外 部 的 所 
备 鼠标 、 扫 描 仪 有 设备 
网 络 组 件 网 络 接口 卡 (NIC) 连接 计算 机 总 线 和 外 部 网 络 的 硬件 设备 ， 可 以 是 电缆 连 


接 或 无 线 连接 
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操作 系统 的 另 一 个 重要 功能 是 保障 内 部 的 资源 和 数据 的 安全 性 。 旧 版 操作 系统 更 关 
注 于 数据 的 保密 性 ， 确 保 只 有 授权 的 用 户 可 以 看 到 敏感 数据 。 随 着 操作 系统 和 网 络 的 发 
展 ， 有 更 多 的 安全 事件 需要 关心 。 现 在 的 操作 系统 不 只 能 实施 严格 的 访问 控制 ， 除 了 保 
密 性 ， 还 要 确保 数据 的 完整 性 和 可 用 性 。 数 据 完整 性 保证 受 保护 的 数据 不 被 非 授 权 的 更 
改 。 数据 可 用 性 保证 所 有 的 机 制 适宜 地 工作 , 使 得 用 户 在 任何 时 候 都 能 访问 到 所 需 资源 。 

操作 系统 必须 执行 4 种 基本 的 安全 功能 来 支持 保密 性 、 完 整 性 以 及 数据 的 可 用 性 : 
识别 用 户 ， 限 制 对 授权 资源 的 访问 ,记录 用户 活动 , 保证 和 其 他 计算 机 以 及 设备 的 连接 。 
其 中 ， 最 后 一 个 功能 被 极 大 简化 了 。 操 作 系统 不 仅 要 保证 存储 数据 的 安全 ， 还 必须 能 提 
供 一 种 方式 使 得 数据 能 够 安全 地 发 送 到 另外 一 个 系统 。 这 4 种 功能 组 成 了 操作 系统 职责 
的 核心 ， 至 少 是 和 安全 相关 职责 的 核心 。 在 以 下 的 部 分 ， 将 会 讨论 这 些 功 能 是 如 何 应 
用 的 。 


系统 安全 规划 着 眼 于 4 种 基本 安全 功能 。@D 系 统 识别 用 户 。 这 可 以 通过 很 多 种 方式 
实现 ， 已 经 在 前 面 讨论 过 了 。 不 管 系统 使 用 什么 样 的 识别 方法 ， 能 够 确保 访问 控制 正确 
地 识别 用 户 。@ 认 证 用 户 。 认 证 通常 要 求 用 户 提供 其 他 一 些 信息 来 证 明 他 们 就 是 所 声称 
的 那些 人 。@ 在 识别 和 认证 一 个 用 户 之 后 ， 就 是 为 用 户 授 权 一 些 特定 的 访问 权限 。 这 种 
授权 是 基于 规则 的 ， 可 以 根据 用 户 的 身份 ， 角 色 ， 或 者 其 他 一 些 和 客体 安全 标签 相关 的 
准则 来 授予 。 操 作 系 统 的 责任 不 仅 是 限制 授权 主体 对 客体 的 访问 ， 还 要 记录 访问 过 程 ， 
以 便于 之 后 的 审计 。 同 时 ， 还 必须 丢弃 不 合法 的 请 求 使 得 合法 的 请 求 能 够 被 及 时 处 理 。 

通常 情况 下 ， 操 作 系 统 的 安全 功能 是 分 层 的 。 控 制 安全 的 软件 位 于 用 户 请 求 和 访问 
资源 的 驱动 程序 之 间 。 拦 截 所 有 用 户 请 求 的 层次 叫做 访问 监控 器 ， 执 行 每 一 个 客体 请 求 
的 授权 工作 ， 由 一 系列 方法 和 函数 构成 。 访 问 监控 器 是 安全 内 核 的 一 部 分 ， 安 全 内 核 是 
操作 系统 中 处 理 所 有 安全 事件 的 部 分 。 安 全 内 核 处 理 授权 ， 以 及 审计 问题 。 尽 管 安全 内 
核 是 核心 操作 系统 的 一 部 分 ， 还 是 能 够 通过 与 外 部 组 件 结合 扩展 自己 的 功能 。 

安全 内 核 授权 了 一 个 资源 请 求 之 后 ， 这 个 请 求 就 被 传递 给 目标 操作 系统 层 。 目 前 的 
操作 系统 至 少 有 两 个 不 同 的 层次 一 一 内 核 层 和 用 户 层 。 应 用 程序 运行 在 操作 系统 的 用 户 
层 上 面 。 用 户 层 执行 的 指令 运行 在 受 限 的 CPU 水 平 上 。 通常， 用 户 层 程序 不 会 执行 一 些 
潜在 的 危险 指令 。 通常 ， 内 核 级 程序 是 那些 可 以 执行 更 高 权限 CPU 指令 的 程序 。 执 行内 
核 级 程序 需要 一 个 更 高 的 权限 ， 因 为 其 结果 往往 直接 影响 硬件 驱动 和 内 存 。 由 于 以 内 核 
模式 运行 程序 的 潜在 的 危险 性 ， 所 以 通常 只 有 关键 的 操作 系统 功能 才 使 用 这 种 程序 。 


@-- 14.1.3 ”内置 安 全 子 系统 和 机 制 


\ 
CP 2 


每 一 种 现代 的 操作 系统 都 拥有 最 基本 的 安全 机 制 。 事 实 上 ， 当 代 操 作 系 统 具有 非常 
复杂 的 安全 功能 。 为 了 便于 安装 、 易 于 用 户 使 用 ， 大 多 数 的 操作 系统 默认 的 安全 等 级 都 
比较 低 。 因 此 ， 对 于 一 个 新 的 操作 系统 就 需要 一 定 的 工作 来 对 安全 水 平 进行 升级 。 这 个 
增加 安全 等 级 的 过 程 通常 叫做 加 固 。 加 固 的 过 程 就 是 找 出 操作 系统 中 已 知 的 漏洞 ， 并 试 
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图 消灭 或 减缓 这 些 漏洞 。 

最 常见 的 操作 系统 安全 子 系统 是 身份 识别 系统 和 认证 系统 。 除 了 极 少 数 的 例外 ， 用 
户 和 信息 系统 的 第 一 个 交互 就 是 登录 系统 。 尽 管 工 作 站 可 能 不 需要 登录 ， 但 是 联网 计算 
机 和 服务 器 请 求 用 户 提 供用 户 名 还 是 很 常见 的 。 用 户 提供 了 用 户 名 之 后 ， 操 作 系统 往往 
会 提示 用 户 出 示 一 个 口令 。 在 系统 内 部 存储 的 用 户 数据 库 中 ， 用 户 名 和 口令 被 核实 ， 然 
后 决定 接受 或 拒绝 这 个 用 户 。 在 大 多 数 现代 操作 系统 中 ， 这 个 简单 的 过 程 是 最 常见 的 。 

另外 一 种 方法 就 要 复杂 得 多 。 用 户 需要 使 用 一 张 智 能 卡 或 生物 设备 来 向 操作 系统 提 
供认 证 信息 。 两 种 方法 的 思想 是 一 致 的 ， 即 用 户 向 操作 系统 出 示 证 书 ， 操 作 系统 对 这 些 
证 书 进行 核实 。 核 实 之 后 ， 操 作 系 统 决定 用 户 可 以 进行 哪些 操作 。 大 多 数 情 况 下 ， 操 作 
系统 或 是 以 一 个 事先 规定 好 的 认证 等 级 认证 用 户 ， 或 是 拒绝 用 户 的 访问 请 求 。 在 某 些 情 
况 下 (比如 用 户 重复 访问 失败 ), 操作 系统 就 可 能 锁定 有 问题 的 用 户 账户 ,要求 其 他 管理 
机 构 来 解决 这 个 问题 。 随 着 操作 系统 的 成 熟 ， 越 来 越 多 的 高 端 功能 被 加 载 进来 。 除 了 基 
本 的 用 户 名 和 口令 功能 ， 许 多 新 型 的 操作 系统 都 具有 单 点 登录 和 远程 认证 解决 方案 。 例 
如 ，Kerberos 就 是 一 个 适用 于 大 多 数 UNIX 变 体 的 网 络 认证 协议 ， 现 在 也 被 许多 微软 产 
品 所 使 用 。 

每 一 个 操作 系统 都 有 独特 的 内 置 安全 子 系统 ， 但 在 所 有 当代 操作 系统 中 一 般 的 身份 
识别 以 及 认证 协议 是 很 常见 的 。 对 用 户 进行 了 认证 控制 之 后 ， 各 个 操作 系统 的 差异 就 变 
得 明显 了 。 用 户 开始 加 固 系统 之 前 ， 要 确保 系统 提供 的 服务 已 经 很 满意 了 。 适 当 的 操作 
系统 安全 应 用 可 能 会 更 加 的 安全 更 加 的 高 效 。 


14.2 操作 系统 安全 原则 与 实践 


一 个 安全 的 操作 系统 是 一 系列 可 靠 计划 的 结果 。 安 全 计划 是 以 了 解 自己 系统 的 安全 
风险 开始 的 。 风 险 评估 就 是 对 用 户 数据 的 风险 进行 识别 以 及 划分 等 级 。 用 户 需要 对 每 一 
个 风险 进行 评估 和 分 析 ， 并 找到 一 种 或 多 种 技术 来 解决 这 个 风险 。 

用 户 在 找到 所 有 的 系统 风险 以 及 相应 的 处 理 方法 之 后 ， 就 可 以 开始 应 用 风险 控制 技 
术 。 应 用 控制 技术 的 过 程 增加 了 系统 总 的 安全 性 ， 使 得 系统 更 不 容易 被 渗透 。 这 个 过 程 
应 该 在 用 户 仔细 研究 自己 组 织 的 风险 之 后 再 实施 。 不 要 盲从 “10 个 步骤 轻松 加 固 你 的 电 
脑 ” 这 样 的 清单 〈 尽 管 这 样 比 什么 都 不 做 要 好 )。 这 样 的 清单 中 所 包含 的 步骤 可 能 涵盖 了 
大 多 数 系统 漏洞 ， 但 是 在 实施 控制 技术 之 前 ， 用 户 需要 了 解 自己 的 系统 到 底 有 哪些 特别 
的 漏洞 。 

用 户 在 对 操作 系统 加 固 之 后 ， 就 需要 检测 加 固 的 结果 。 要 记 住 附加 的 控制 限制 了 对 
客体 的 访问 ， 因 此 ， 这 就 可 能 在 一 定 程度 上 影响 系统 的 运行 。 在 应 用 或 更 改 了 安全 控制 
之 后 ， 要 对 所 有 的 系统 访问 操作 进行 全 面 的 检查 。 下 一 步 的 工作 是 安全 培训 和 通用 操作 
系统 操作 。 对 系统 的 任何 更 改 都 要 提供 培训 。 

这 些 原则 对 于 所 有 的 操作 系统 都 是 通用 的 。 识 别 风险 ， 然 后 选择 最 合适 的 控制 技术 
来 处 理 每 一 个 风险 。 在 完成 控制 技术 的 应 用 步骤 之 后 ， 对 每 个 控制 手段 进行 评估 以 确保 
会 影响 系统 其 他 部 分 的 性 能 。 
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143 Windows 系统 安全 设计 


Windows 安全 模式 在 多 种 Windows 产品 中 是 不 一 样 的 , 差别 最 大 的 就 是 工作 站 和 服 
务 器 。 这 主要 是 因为 各 种 不 同 的 计算 机 有 着 不 同 的 目的 。 工 作 站 计算 机 经 常 作为 访问 的 
主体 ， 而 服务 器 计算 机 是 客体 。 因 为 人 们 更 关注 存储 在 服务 器 上 的 数据 ， 所 以 本 节 重 点 
在 于 Windows 服务 器 的 安全 设计 。 

Windows 服务 器 安全 是 建立 在 活动 目录 概念 基础 上 的 。Windows 目录 服务 是 使 用 网 
络 对 客体 进行 寻 址 和 访问 的 结构 。 活 动 目录 不 是 唯一 的 域 服务 。 其 他 的 服务 商 ， 例 如 
Netscape iPlanet 和 Novell NDS 的 产品 同样 有 类 似 目录 服务 的 功能 。 域 是 由 管理 员 创建 的 
网 络 资源 的 逻辑 组 , 这 些 域 构成 了 目录 服务 构架 中 的 基本 组 别 。 网 络 资 源 可 以 是 计算 机 、 
打印 机 、 用 户 ， 甚 至 是 其 他 的 目录 对 象 。 域 可 以 分 组 形成 树 和 森林 ， 形 成 系统 的 等 级 族 
群 。 目 录 服 务 同样 允许 域 之 间 构 成 直接 的 信任 关心 ， 不 管 它们 在 森林 中 的 位 置 。 

对 系统 进行 逻辑 上 的 分 组 使 得 管理 员 可 以 通过 组 特性 对 几 个 客体 进行 管理 ， 减 轻 了 
管理 负担 。 每 一 个 文件 ， 文 件 夹 和 打印 机 都 是 一 个 目录 服务 客体 。 每 一 个 客体 具有 相应 
的 任意 访问 控制 列表 (DACL), 明确 了 哪个 主体 可 以 访问 该 客体 。 访问 主体 可 以 是 用 户 、 
用 户 组 或 计算 机 。DACL 限制 对 客体 的 访问 可 以 在 客体 类 别 、 客 体 或 客体 属性 水 平 上 。 
因为 主体 和 客体 都 具有 多 个 层次 〈 例 如 用 户 、 用 户 组 、 计 算 机 ) 访问 控制 就 会 非常 灵活 ， 
当然 也 很 可 能 会 存在 相互 矛盾 冲突 的 规则 。 如 果 张 三 被 授予 修改 Readme.doc 的 权限 , 但 
是 程序 员 组 却 没有 被 授予 这 样 的 权限 ， 而 张 三 是 程序 员 组 的 成 员 ， 结 果 会 怎么 样 呢 ? 因 
为 域 控制 器 使 用 继承 来 建立 访问 控制 规则 ， 所 以 在 应 用 时 更 明确 的 规则 会 起 作用 。 在 这 
个 例子 中 ， 张 三 会 保留 写 的 权限 ， 因 为 用 户 比 起 组 要 更 明确 。 然 而 ， 如 果 程 序 员 组 已 经 
被 明确 拒绝 访问 Readme.doc， 这 个 结果 就 会 有 一 些 变化 。 尽 管 大 多 数 的 规则 是 分 层 建立 
的 , 但 是 否认 规则 (Deny rule) 是 优先 执行 的 。 如 果 程 序 员 组 被 明确 拒绝 访问 Readme.doc 
文件 ， 只 要 张 三 是 这 个 组 的 一 个 成 员 ， 他 就 不 能 访问 这 个 文件 了 。 

继承 特性 允许 规则 在 域 的 层次 上 被 确定 ， 运 行 的 时 候 并 不 需要 太 多 的 管理 员 维 护 。 
管理 员 应 该 维护 的 是 和 通用 访问 权限 不 同 的 特殊 情况 。 在 最 初 的 访问 被 允许 之 后 ， 每 一 
个 客体 能 够 明确 对 于 主体 的 权利 。 目 录 服 务 提供 了 一 种 构架 ， 能 够 在 网 络 环境 中 明确 存 
储 、 寻 址 以 及 请 求 客体 访问 信息 。 实 际 的 客体 信息 是 存储 在 一 个 分 布 式 的 数据 库 中 的 ， 
所 以 对 于 认证 信息 的 访问 不 会 造成 系统 功能 瓶颈 和 单 点 失败 。 

对 于 本 地 安全 或 者 是 域 安全 ,管理 员 通 过 微软 管理 控制 台 (MMC) 来 维护 个 体 安 全 
客体 的 属性 。MMC 是 定义 和 维护 组 策略 客体 的 初级 接口 ， 定 义 了 用 户 组 对 于 特定 系统 
事件 的 安全 设置 。 图 14-1 给 出 了 对 于 关闭 系统 的 本 地 安全 策略 。 

当 进 行 资源 请 求 认证 的 时 候 ，Windows 通过 认证 当前 的 登录 用 户 以 及 用 户 的 组 成 员 
关系 来 决定 是 否 允 许 此 次 请 求 。 在 互联 网 环境 中 ， 这 些 设 置 可 以 从 域 中 的 客体 设置 中 继 
承 。 通 过 域 控制 器 计算 机 上 的 MMSC 以 相似 的 方式 来 维护 更 高 等 级 的 安全 水 平 。 
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14-1 Windows 系统 本 地 安全 策略 示例 


14.4 UNIX 和 Linux 安全 设计 


Windows 系统 把 安全 和 事件 及 组 关联 在 一 起 ， 而 UNIX 和 Linux 系统 则 是 围绕 着 文 

件 构建 基本 安全 。 事 实 上 ， 在 一 个 UNIX 系统 中 ， 所 有 的 东西 都 是 一 个 文件 〈 为 了 简单 

起 见 ， 这 里 把 UNDX 和 和 Linux 的 变 体 都 称 为 UNIX)。 在 UNIX 中 ， 文 件 是 文件 ， 设 备 是 

文件 ， 目 录 是 文件 ， 甚 至 运行 的 程序 也 是 文件 。 这 样 就 简化 了 UNIX 中 的 许多 管理 ， 同 

样 也 使 得 文件 权限 的 管理 成 为 系统 管理 的 关键 。UNIX 管理 中 的 主要 困难 就 是 和 文件 权 
限 相 关 的 。 因 此 ， 先 来 了 解 一 下 UNIX 的 文件 系统 及 文件 权限 。 

在 UNIX 文件 系统 中 ， 每 一 个 文件 都 有 一 个 权限 ， 或 与 之 相对 应 的 模式 域 。 这 个 模 

式 域 由 10 个 字符 组 成 ， 明 确 了 这 个 文件 的 安全 访问 特征 和 其 他 一 些 特征 。 图 14-2 给 出 

了 每 一 种 模式 域 的 含义 。 在 这 个 例子 中 ， 客 体 是 一 个 文件 〈 在 第 一 个 域 中 ， 没 有 “d”)。 

这 个 文件 的 权限 允许 文件 所 有 者 读 、 写 、 执 行 这 个 文件 ， 允 许 属于 这 个 文件 组 的 用 户 读 、 

执行 这 个 文件 ， 而 其 他 的 用 户 只 能 读 这 个 文件 。 

Directory User Group World 


委身 oR 鸭 


J 


图 14-2 UNIX 系统 模式 域 示 例 


用 户 可 以 利用 一 系列 的 命令 看 到 文件 的 模式 域 。 图 14-3 给 出 了 文件 模式 域 的 一 个 典 
型 列表 。 
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a96 fpr 6 1998 -- 
279386 Dec 2 1992 compute-c 
1772 Dec 4 1992 factor.c 
40 Sep 15 1992 inp.file 
1139 Dec 14 1992 johnfi.c 
1R Nnu 3A 1992 Makefile 
3526 Dec 2 1992 manage.c 
1884 Dec 14 1992 maryfo.c 
72394 Dec 4 1992 myar-c 
2683 Dec 14 1992 pipes.c 
235? Dec 2 1992 report.c 
1867? Dec 2 1992 pnshm 
1587 Dec 14 1992 signals.c 
2477 2 1993 slave.c 
5696 Dec 16 1992 sys.test 
3833 Dec 2 1992 uniqify-c 
36 Jan 3 1993 uwd.c 


UNIX 系统 文件 模式 域 示 例 


模式 域 由 4 个 部 分 组 成 ， 指 出 了 文件 的 种 类 以 及 文件 所 有 者 ， 文 件 组 以 及 其 他 人 对 
文件 的 访问 许可 。 表 14-2 对 模式 域 的 每 一 个 部 分 进行 了 描述 。 


表 14-2 ”模式 域 各 部 分 具体 描述 


描述 


在 模式 域 。 可 能 的 取 值 
中 的 位 置 
第 1 位 -一 一 常规 文件 
目录 (directory) 
[一 一 符号 链接 (symbolic link) 
了 b 一 一 块 特殊 文件 (block special file) 
c 一 一 字符 特殊 文件 (character special 
file) 
2 到 4 位 一 一 读 权限 
VW 一 一 写 权 限 
x 一 一 执行 权限 
一 一 无 权限 
5 到 7 位 IT 一 一 读 权限 
Ww 一 一 写 权限 
x 一 一 执行 权限 
一 一 无 权限 
8 到 10 位 ”一 一 读 权限 
Ww 一 一 写 权 限 
x 一 一 执行 权限 
一 一 无 权限 


文件 模式 域 的 第 一 个 字符 指出 了 文件 类 型 。 这些 
只 是 文件 类 型 其 中 的 一 部 分 , 文件 类 型 能 够 影响 
文件 权限 如 何 被 应 用 


文件 所 有 者 的 访问 权限 。 权 限 可 以 组 合 ， 例 如 ， 
rwx 说 明文 件 所 有 者 能 够 读 、 写 、 执行 这 个 文件 ; 
而 二- 说明 用 户 只 能 够 读 这 个 文件 


文件 组 用 户 成 员 的 访问 权限 


- 般 用 户 的 访问 权限 


UNIX 把 所 有 这 些 特征 放 在 一 起 来 构成 文件 的 模式 域 。 例 如 ， 考 虑 下 面 这 个 命令 行 
-ITWXIW-I- - 2 michael gstud 7394 Sep 15 14.45 signals.sh 


个 结果 给 出 了 关于 signals.sh 文件 的 信息 。 这 个 文件 属于 用 户 michael 和 用 户 组 
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gstud。 文 件 的 大 小 是 7394 比特 ， 最 后 一 次 修改 时 间 是 在 9 月 15 日 14:45。 模 式 域 
“-rwxrw-r-”， 说 明文 件 的 所 有 者 能 够 对 这 个 文件 进行 读 、 写 、 执 行 (rwx)， 一 个 可 信 组 
的 用 户 成 员 可 以 对 这 个 文件 进行 读 、 写 (rw-)， 而 其 他 的 用 户 只 能 读 这 个 文件 Cr-)。 

注意 ， 所 有 的 文件 访问 都 是 通过 用 户 身 份 和 组 关系 来 管理 的 。UNIX 使 用 基于 身份 
的 访问 控制 用 于 基本 的 资源 保护 。 


14.5 系统 备份 


如 果 不 包 含 备份 功能 ， 任 何 的 操作 系统 安全 都 是 不 完整 的 。 系 统 备份 是 系统 局 部 或 
全 部 的 复制 ， 通 常 存储 在 可 移动 介质 上 。 其 目的 是 为 了 向 用 户 正在 使 用 的 系统 提供 一 个 
副本 ， 在 原版 本 丢失 的 情况 下 可 以 使 用 。 可 能 会 有 很 多 种 原因 导致 系统 原版 本 的 丢失 ， 
服务 器 遭 到 攻击 导致 失效 ， 恶意 攻击 破坏 重要 数据 ,或 是 硬件 失灵 。 在 任何 一 种 情况 下 ， 
都 需要 依靠 系统 的 备份 来 恢复 系统 的 运行 。 
系统 备份 可 以 成 为 用 户 系 统 最 好 的 保护 ， 但 也 可 能 是 最 糟糕 的 漏洞 。 保 护 的 作用 是 
很 容易 理解 的 。 当 用 户 丢 失 了 数据 的 原始 版 本 , 第 一 个 转向 的 地 方 就 是 用 户 的 最 新 备份 。 
当然 ， 还 有 许多 其 他 的 选择 。 例 如 ， 宛 余 系 统 可 以 提供 相同 的 coverage 作为 备份 。 这 样 
的 系统 ， 成 本 可 能 会 很 高 ， 但 恢复 的 时 间 通 常会 很 短 。 对 于 包含 元 余 成 分 的 系统 ， 可 靠 
的 系统 备份 向 系统 提供 了 一 个 稳定 的 二 级 备份 。 
备份 之 所 以 会 成 为 用 户 系统 的 漏洞 是 因为 系统 备份 通常 被 创建 在 可 移动 的 介质 上 。 
而 介质 能 够 被 传输 到 很 远 的 地 方 。 除 非 对 用 户 备份 的 传输 途径 和 存储 地 点 进行 严格 的 物 
理 控制 ， 和 否则 这 些 备份 可 能 会 落 入 恶意 第 三 方 手中 。 相 比较 而 言 ， 在 数据 中 心得 到 数据 
肯定 比 通过 数据 备份 得 到 数据 要 更 困难 。 即 使 保密 性 并 不 是 用 户 最 初 关心 的 重点 ， 可 是 
一 个 完整 的 系统 备份 通常 包含 了 足够 信息 用 于 攻击 者 向 运行 中 的 系统 攻击 。 

用 户 创建 备份 的 时 候 , 首先 需要 做 的 是 检查 备份 创建 的 介质 是 否 是 好 的 。 很 多 时 候 ， 
备份 被 日 复 一 日 地 创建 在 坏 的 介质 上 面 。 如 果 不 花费 一 定 的 时 间 来 检查 介质 的 好 坏 ， 那 
就 相当 于 没有 做 备份 。 当 用 户 需 要 使 用 备份 的 时 候 ， 却 发 现 它们 是 坏 的 是 一 件 十 分 糟糕 
的 事情 。 制 订 一 个 备份 的 计划 表 ， 定 期 使 用 新 的 介质 ， 并 对 这 些 介 质 进 行 标记 ， 然 后 把 
备份 存储 在 一 个 安全 的 地 方 。 一 个 好 的 备份 是 恢复 计划 的 主要 组 成 部 分 。 要 采取 一 系列 
的 步骤 来 保证 备份 是 完整 性 和 安全 性 。 


14.0 典型 的 系统 安全 威胁 


系统 安全 的 总 体 目 标 就 是 要 保护 数据 免 受 威 胁 。 对 于 存储 在 信息 系统 里 的 数据 ， 有 
很 多 种 的 威胁 。 威 胁 可 能 是 允许 主体 超过 授权 权限 ， 执 行 一 些 非 授 权 的 行为 。 或 者 拒绝 
一 个 授权 主体 访问 授权 的 资源 。 这 个 部 分 将 介绍 3 种 常见 的 系统 安全 威胁 。 

1. 软件 漏洞 

第 一 类 安全 威胁 就 是 软件 漏洞 。 漏 洞 可 能 使 软件 运行 产生 预料 之 外 的 结果 ， 还 可 能 
使 软件 停止 工作 ， 甚 至 导致 软件 崩溃 。 软件 开发 者 负责 设计 代码 时 要 注重 程序 的 健壮 性 。 
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一 般 来 说 ， 对 于 程序 十 分 精通 的 设计 者 设计 的 代码 比 起 那些 对 程序 一 知 半 解 的 人 设计 的 
代码 的 可 靠 性 要 高 的 多 。 

漏洞 之 所 以 能 够 形成 安全 威胁 ， 是 因为 其 向 攻击 者 提供 了 入 侵 系 统 的 机 会 。 软 件 中 
的 漏洞 可 能 使 得 用 户 获 得 比 正 常情 况 更 高 的 权限 来 运行 程序 。 如 果 在 运行 高 优先 权 的 指 
令 时 程序 骨 溃 ， 漏 洞 可 能 使 得 攻击 者 绕 过 所 有 的 访问 控制 。 攻 击 者 可 以 使 用 更 高 的 权限 
截获 数据 ， 侵 入 系统 。 

处 理 这 些 安全 威胁 的 最 好 方法 就 是 阻止 漏洞 的 产生 。 可 以 通过 各 种 方法 来 严格 限制 
软件 中 漏洞 的 数量 ， 包 括 训练 程序 员 编写 可 靠 的 代码 ， 依 照 正式 的 软件 开发 办 法 ， 以 及 
在 软件 发 行 之 前 进行 完整 的 测试 。 

2. 后 门 


另 一 种 常见 的 威胁 是 后 门 。 后 门 是 能 够 绕 过 一 些 或 是 全 部 安全 控制 的 软件 进入 点 。 
许多 软件 开发 者 设置 后 门 是 为 了 避免 在 软件 的 开发 和 测试 过 程 中 处 理 大 量 的 安全 控制 。 
但 后 门 也 有 可 能 是 意外 地 留 下 来 的 。 在 软件 安装 之 后 ， 后 门 有 可 能 作为 一 个 秘密 进入 点 
被 留 了 下 来 。 即 使 其 目的 不 是 恶意 的 ， 但 后 门 的 存在 确实 是 一 个 巨大 的 安全 威胁 。 后 门 
可 以 被 开发 者 出 于 一 些 不 道德 的 原因 来 利用 ， 也 可 以 被 攻击 者 发 现 和 使 用 。 无 论 哪 一 种 
方式 ， 都 会 造成 安全 威胁 。 常 规 的 测试 应 该 发 现 主动 探测 ， 当 发 现 后 门 时 ， 应 主动 消除 。 


3. 假冒 身份 


最 后 一 种 常见 的 威胁 是 假冒 或 截获 用 户 身份 。 目 前 为 止 ， 实 现 这 种 威胁 最 简单 的 方 
法 是 攻破 某 些 人 的 口令 。 当 获得 一 个 人 的 用 户 名 和 口令 之 后 ， 就 可 以 通过 其 身份 登录 系 
统 。 截 获 一 个 用 户 的 身份 可 以 有 很 多 方法 ， 包 括 社会 工程 学 或 使 用 各 种 技术 攻破 。 在 下 
一 个 部 分 ， 将 讨论 获取 口令 的 一 种 方法 一 一 击 键 记录 。 

除了 有 关 身 份 窃取 的 问题 ， 还 有 其 他 监控 和 审计 用 户 活动 的 问题 。 如 果 一 个 攻击 者 
使 用 了 甲 的 用 户 名 ， 那 么 要 把 甲 与 攻击 者 的 行为 分 开 是 很 困难 的 。 因 此 ， 用 户 一 定 要 保 
护 好 自己 的 用 户 名 和 口令 。 要 让 用 户 明 白 口 令 安全 的 重要 性 。 处 理 假冒 身份 的 最 好 办 法 
就 是 采取 措施 来 避免 任何 身份 信息 的 泄露 。 


14.7 击 键 记录 


正如 上 一 部 分 所 提 到 的 ， 击 键 记 录 是 一 种 窃取 用 户 已 经 输入 的 口令 的 方法 。 可 以 在 
计算 机 上 安装 击 键 记录 软件 或 硬件 ， 来 存储 用 户 的 所 有 击 键 行 为 。 另 外 ， 也 可 以 使 用 录 
像 机 对 准 用 户 的 键盘 进行 记录 。 软 件 击 键 监视 器 是 一 个 驱动 程序 ， 需 要 对 操作 系统 的 特 
权 访 问 来 进行 安装 。 硬 件 设备 只 需要 插入 计算 机 键盘 接口 上 。 如 果 拥 有 对 计算 机 的 物理 
访问 权 ， 硬 件 设备 安装 起 来 最 简单 。 不 管 种 类 上 的 区 别 ， 这 些 监控 器 的 目的 就 是 追踪 ， 
并 且 在 日 志文 件 中 存储 每 一 个 击 键 行为 。 一 个 系统 使 用 击 键 监视 器 通常 有 以 下 3 种 原因 。 

口 测试 和 质量 保证 ”测试 软件 时 ， 重 复 执行 相同 的 任务 是 很 必要 的 。 保存 用 户 的 

终端 输入 能 够 使 得 多 次 重复 的 输入 更 简单 、 更 精确 ， 别 除了 人 为 操作 的 错误 。 
这 种 情况 下 ， 使 用 击 键 监视 器 是 很 常见 的 。 
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口 证 据 收集 当 怀疑 用 户 正 在 从 事 非 法 活动 或 是 不 适宜 活动 的 时 候 ， 可 以 通过 击 
键 记录 来 必要 收集 一 些 证 据 。 

口 恶意 攻击 者 ”一 个 攻击 者 可 以 监视 用 户 所 有 的 击 键 行为 ， 利 用 结果 日 志 来 提取 
口令 、 信 用 卡号 以 及 其 他 种 类 的 个 人 信息 。 这 个 击 键 监视 器 要 求 攻 击 者 通过 安 
装 硬件 设备 或 软件 来 攻破 电脑 ， 然 后 攻破 系统 获取 信息 。 双 因子 认证 方式 减少 
了 这 种 攻击 成 功 的 可 能 性 。 合适 的 物理 安全 和 访问 控制 能 减少 击 键 监视 的 风险 。 
另外 ， 同 样 有 必要 对 所 有 用 户 进行 关于 安全 风险 的 培训 。 


14.8 常见 Windows 系统 风险 


所 有 的 操作 系统 都 存在 安全 风险 。 了 解 操 作 系 统 最 常见 的 风险 是 十 分 重要 的 。 大 多 
数 的 攻击 者 就 是 通过 扫描 寻找 存在 漏洞 的 系统 ， 从 而 对 计算 机 进行 攻击 的 。 

SANS 研究 所 和 FBI 共同 创建 了 SANS/FBI 20 个 最 严重 的 互联 网 安全 漏洞 列表 。 这 
个 列表 包含 了 Windows 和 UNIX 系统 最 常见 的 威胁 。 可 以 在 http://www.sans.org/top20/ 
找到 最 新 的 列表 。 下 面 依据 严重 程度 依次 减弱 的 顺序 列 出 了 Windows 系统 最 常见 的 漏洞 。 

(1) Internet Information Services (IIS): 微软 的 Web 服务 有 多 种 不 同 的 漏洞 ， 包 括 
处 理 异 常 请 求 和 缓冲 区 溢出 问题 时 的 后 门 行为 。IIS 安装 之 后 常 使 用 户 和 应 用 程序 处 于 不 
受 保护 状态 也 是 很 常见 的 问题 。 除 了 Windows 2003 之 外 ， 在 Windows 操作 系统 中 IIS 
是 被 默认 安装 的 。 这 种 默认 安装 常 造成 管理 者 忽视 安装 细节 。 

(2) 微软 数据 访问 组 件 (MDAC) 远程 数据 服务 : 旧版 本 的 MDAC 包括 一 个 漏 
洞 ， 允 许 攻击 者 以 管理 员 权 限 在 本 地 运行 命令 。 对 于 这 种 漏洞 的 攻击 ， 用 户 的 数据 库 是 
脆弱 的 。 

(3) Microsoft SQL 服务 器 : MSQL 有 几 个 常见 漏洞 使 得 攻击 者 能 够 访问 数据 库 的 内 
容 。 这 些 漏 洞 包括 端口 开放 问题 以 及 不 安全 的 默认 用 户 和 不 安全 的 试用 应 用 程序 问题 。 
几 种 典型 的 恶意 代码 是 以 MSQL 漏洞 为 目标 的 。 

(4) NetBIOS 一 一 不 受 保护 的 Windows 网 络 共享 : Windows 提供 了 一 种 简单 的 方法 
使 得 远程 计算 机 能 够 访问 、 共 享 本 地 的 资源 。 这 种 特性 通常 是 通过 共享 文件 夹 和 共享 打 
印 机 实现 的 。 这 种 共享 机 制 如 果 设 置 得 不 合适 能 够 使 得 一 个 远程 攻击 者 获得 本 地 主机 文 
件 系统 的 全 部 控制 。 

(5) 匿名 登录 室 会 话 (Null Sessions): Windows 使 用 无 用 户 ID 的 登录 方式 收 
集 计算 机 的 信息 并 执行 一 些 连 接 服务 。 这 种 登录 方式 被 叫做 空 会 话 (Null Sessions ) 。 
为 Null Sessions 允许 访问 像 用 户 或 用 户 组 账户 和 共享 这 样 含 有 漏洞 的 信息 ， 就 为 攻击 者 
提供 了 极 具 吸引 力 的 入 侵 点 (entry point)。 

(6) 局 域 网 管理 员 认证 (LAN Manager Authentication ) Weak LM Hashing: 
Windows 支持 局 域 网 管理 员 认 证 ， 尽 管 只 有 很 少 的 系统 真正 需要 这 种 服务 。 局 域 网 管理 
员 相 应 的 弱 口 令 使 得 攻击 者 攻破 任何 存储 的 口令 都 是 相当 简单 的 。 通 过 这 个 系统 能 够 获 
得 破解 的 口令 。 

(7) 通用 Windows 认证 (General Windows Authentication ) 一 一 无 口令 账户 或 弱 口 
令 账户 : 令 人 震惊 的 是 ， 许 多 系统 居然 有 未 设置 口令 的 账户 ， 而 其 他 账户 的 口令 则 极 容 
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易 被 攻破 。 

(8) 因特网 浏览 器 (IE): 万 维 网 的 流行 使 得 和 网 络 相关 的 攻击 非常 的 流行 。 因 为 下 
是 上 网 最 流行 的 接口 ， 也 就 成 为 了 网 络 攻击 最 常见 的 目标 。 这 种 产品 有 几 种 不 同类 型 的 
安全 漏洞 ， 主 要 是 针对 它 的 高 级 功能 和 脚本 功能 。 

(9) 注册 表 远 程 访问 : 对 于 运行 Windows 操作 系统 的 计算 机 ， 其 中 心 数据 库 是 注册 
表 。 注 册 表 的 任何 更 改 都 能 够 动态 地 改变 系统 的 工作 。 不 合适 的 安全 设置 能 够 使 得 远程 
用 户 修改 关键 的 注册 表 设 置 。 

(10) Windows Scripting Host (WSH): WSH 使 得 运行 Windows 操作 系统 的 计算 机 
能 够 执行 任意 扩展 名 为 .vbs 的 文本 文件 。 这 种 文件 是 Visual Basic 脚本 语言 。 通 过 WSH 
运行 Visual Basic 脚本 ， 旧 版 本 的 Windows 可 能 会 受到 攻击 。 许 多 恶意 代码 攻击 就 是 利 
用 这 种 漏洞 ， 包 括 著 名 的 “Love Bug” 蠕 虫 。 

理解 系统 的 常见 漏洞 并 且 采 取 合 适 的 保护 措施 是 十 分 重要 的 。 事 实 上 ， 如 果 攻 击 者 
比 用 户 对 系统 了 解 的 还 多 ， 那 么 ， 用 户 的 系统 就 极 有 可 能 成 为 受害 主机 ， 受 到 攻击 者 的 
攻击 。 


14.9 常见 UNIX 系统 风险 


SANS/FBI 20 个 最 严重 的 互联 网 安全 漏洞 列表 同时 包含 UNIX 系统 最 严重 的 漏洞 。 
用 户 可 以 在 http://www.sans.org/top20/ 上 找到 最 新 的 列表 。 以 下 是 UNIX 系统 最 常见 的 几 
种 漏洞 。 

(1) 远程 过 程 调用 (RPC): RPC 使 得 一 台 计 算 机 上 的 用 户 可 以 在 另 一 台 计 算 机 上 运 
行 命令 。 并 且 ， 用 户 往往 能 够 以 根 权限 在 目标 计算 机 上 运行 命令 。 这 就 使 得 攻击 者 可 以 
攻破 旧版 本 的 PRC 软件 ， 获 得 根 权 限 ， 从 而 运行 任何 想 要 的 软件 。 

(2) Apache 网 络 服务 器 : 尽管 大 多 数 的 安全 专家 认为 Apache Web 服务 器 比 IS 要 
安全 ， 但 是 仍然 存在 着 漏洞 ， 并 且 有 可 能 被 不 安全 的 安装 。 事 实 上 ， 它 的 高 安全 性 常 使 
管理 者 产生 一 种 安全 的 错觉 ， 因 此 忽视 了 基本 的 安全 设置 。 

(3) 安全 外 过 (SSH): 为 了 避免 其 他 远程 访问 软件 存在 的 诸多 安全 漏洞 ， 大 多 数 的 
管理 者 转向 SSH。 尽 管 SSH 比 RPC 安全 性 高 很 多 ， 但 是 ， 仍 然 包 含 着 很 多 的 软件 漏洞 。 
如 同 Apache 漏洞 一 样 ， 攻 击 者 明白 表面 上 的 高 安全 性 使 得 许多 管理 者 变 得 更 懒惰 了 。 

(4) 简单 网 络 管理 协议 CSNMP): SNMP 被 使 用 在 网 络 中 来 监视 远 端 网 络 设备 。 旧 
版 本 SNMP 应 用 中 存在 的 许多 漏洞 为 网 络 攻击 打开 了 后 门 。 

(5) 文件 传输 协议 (FTP): FTP 是 用 来 传输 文件 最 常见 的 一 种 方法 。 在 认证 过 程 和 
文件 传输 过 程 中 同时 存在 着 漏洞 。FTP 以 明文 形式 向 服务 器 发 送 口令 。 应 用 嗅 探 器 捕获 
网 络 数据 包 就 能 够 读 取 口令 。 认 证 问题 能 够 泄露 用 户 的 证 书 ， 软 件 漏洞 可 以 使 攻击 者 获 
得 根 权限 。 

(6) R-Services 一 一 可 信 关 系 : 旧版 本 系统 通常 使 用 几 种 “R-Services” 来 获得 远程 
计算 机 上 的 服务 。 这 些 服务 包括 远程 外 壳 〈Remote Shell，Rsh)， 远 程 复制 (RCP)， 远 
程 登录 (RLOGIN)， 以 及 远程 执行 (REXEC)。 这 些 服务 使 得 可 信 关 系 忽略 掉 每 次 命令 
执行 时 的 认证 指令 。 这 种 信任 使 得 攻击 者 冒充 成 为 一 个 可 信 的 计算 机 ， 不 通过 认证 就 获 
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得 了 更 高 的 权限 。 

(7) 打印 机 网 络 共享 (LDP): 这 个 守护 程序 使 得 远程 用 户 提交 打印 工作 。 存 在 的 组 
冲 漏洞 使 得 攻击 者 获得 了 根 权限 。 

(8) Sendmail: 邮件 发 送 程序 的 流行 使 其 成 为 一 个 常见 攻击 的 目标 。 攻 击 者 可 以 利 
用 旧版 本 程序 的 漏洞 来 创造 缓冲 区 溢出 或 使 用 其 他 的 漏洞 来 发 起 一 个 电子 邮件 攻击 。 

(9) BIND/DNS: 和 邮件 发 送 漏洞 相似 ， 旧 版 本 的 BIND/DNS 可 以 使 得 攻击 者 利用 
软件 中 存在 的 漏洞 发 起 各 种 类 型 的 攻击 。 

(10) 通用 UNIX 认证 一 一 无 口令 账户 或 弱 口 令 账 户 : 令 人 震惊 的 是 , 许多 系统 居然 
有 未 设置 口令 的 账户 ， 而 其 他 账户 的 口令 则 极 容易 被 攻破 。 

和 Windows 系统 存在 的 漏洞 一 样 ,了 解 UNIX 系统 存在 的 常见 漏洞 并 且 采 取 合 适 的 
保护 措施 对 于 用 户 来 说 是 非常 重要 的 。 不 论 用 户 使 用 哪 一 种 操作 系统 ， 漏 洞 都 是 存在 的 
并 且 必 须 处 理 掉 。 


14.109 ”操作 系统 扫描 和 系统 标识 


在 计算 机 系统 运行 的 过 程 中 ， 对 系统 的 当前 状态 进行 评估 是 十 分 重要 的 。 这 可 能 仅 
是 为 了 预防 ， 也 可 能 是 作为 调查 研究 的 一 部 分 。 很 多 时 候 ， 查 找 和 分 析 系 统 状 态 信息 的 
数据 是 十 分 必要 的 。 对 数据 进行 识别 、 提 取 、 记 录 ， 并 从 中 搜集 某 些 特殊 活动 证 据 的 过 
程 叫做 计算 机 取证 。 这 个 过 程 包括 提取 日 志文 件 以 及 文件 系统 中 的 内 容 ， 从 而 找到 在 系 
统 中 存在 着 哪些 东西 ， 以 及 用 户 已 经 做 了 哪些 事情 。 

分 析 的 目的 是 记录 计算 机 的 当前 状态 。 这 个 信息 可 以 用 在 之 后 的 比较 中 ， 对 于 侦查 

一 些 不 正常 的 行为 以 及 系统 性 能 的 改变 都 是 很 有 有 用。 提取 和 记录 系统 的 状态 叫做 系统 标 
识 。 系 统 标识 就 是 实时 记录 计算 机 在 某 一 个 固定 时 间 点 状态 的 一 系列 信息 。 系 统 设置 、 
测试 以 及 运行 后 都 应 该 进行 计算 机 标识 的 收集 。 随 后 再 与 之 前 的 信息 做 比较 ， 从 而 记录 
系统 状态 中 的 改变 。 
当 怀 疑 一 些 不 合适 的 或 者 非法 的 行为 时 ， 用 户 采 取 的 第 一 步 措施 就 是 调查 。 调 查 中 
一 个 重要 的 组 成 部 分 就 是 提取 日 志文 件 和 其 他 记录 用 户 行为 的 数据 。 用 户 在 计算 机 上 几 
乎 所 有 的 活动 都 会 被 记录 下 来 。 这 些 活 动 日 志 提供 了 进行 调查 的 合适 的 工具 以 及 知识 。 
系统 取证 是 一 门 细 新 的 学 科 , 被 用 在 很 多 调查 中 来 收集 可 疑 行为 的 证 据 。 第 13 章 具 体 介 
绍 了 计算 机 取证 的 过 程 。 


习 是 


D. 处 理 器 
2. 一 个 系统 使 用 击 键 监视 器 的 原因 不 包括 


1. 操作 系统 管理 的 主要 系统 资源 不 包括 下 下 列 哪 项 ? (  ) 


一 、 选 择 题 


列 哪 一 项 ? 《 有 人 A， 系统 备份 
A. 主 存储 器 B. 恶意 攻击 
B. 二 级 存储 器 C. 证 据 收集 

D. 测试 和 质量 保证 


C. 三 级 存储 器 
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2. 简 述 系统 备份 的 重要 性 和 危险 。 


3. 思考 如 何 实 现 Windows 和 UNIX 最 基本 
1. 简 述 操作 系统 安全 的 特点 和 好 处 。 的 安全 设计 。 


课 后 实践 与 思考 


常用 操作 系统 扫描 工具 介绍 及 操作 示范 
1. CIS-CAT 


口 功能 可 以 根据 不 同 的 操作 系统 ， 选 择 不 同 的 基准 进行 系统 漏洞 扫描 。 

口 适用 对 象 UNIX/Linux、MS Windows, 并 且 这 些 系统 上 装 了 java 5 或 以 上 版 本 。 

本 文 主要 介绍 在 Linux 操作 系统 下 的 用 法 。 

(1) 扫描 准备 

将 工具 解压 到 目标 Linux 机 器 上 ，CIS-CAT 扫描 Linux 机 器 必须 要 求 机 器 安装 JDK 
在 1.5 或 以 上 可 以 通过 #java -version 查看 具体 的 版 本 号 ， 如 果 机 器 上 有 JDK 在 1.5 以 上 
但 是 只 是 没有 设置 环境 变量 ， 参 照 以 下 方法 设置 ， 如 果 没 有 版 本 在 1.5 或 者 以 上 ， 则 下 
载 1.5 或 者 以 上 版 本 安装 。 

更 新 环境 变量 参照 如 下 : 


#vi .profile 


PATH=/usr/bin:/etc:/usr/sbin:/usr/ucb: $HOME/bin:/usr/X11:/sbin:/bin:/ 
usr/local/bin:/i2kmount/iToolcfg/icheck/jdk1.5/jre/bin:/i2kmount/iToolcfg 
/icheck/jdk1.5/bin:. 


export PATH 
JAVA HOME=/i2kmount/iToolcfg/icheck/jdk1.5 


export JAVA HOME 
(2) 扫描 执行 
其 体 扫 描 执行 命令 如 下 : 


并 ./CIS-CAT.sh ./benchmarks/suse-10-benchmark.xml // 根 据 具体 扫描 系统 ， 确 定 
后 面 的 基准 参数 


(3) 扫描 结果 
扫描 结果 存放 在 当前 用 户 根 目 录 下 的 CIS-CAT Results 文件 夹 里 。 


2. SRay (SRay.0.4.8.tar.gz ) 
口 功能 系统 漏洞 扫描 。 

口 适用 对 象 UNIX/Linux 系统 。 
这 里 用 SRay 来 扫描 Linux 系统 。 


(1) 扫描 准备 

将 SRay.0.4.8.tar.gz 工具 解压 到 目标 Linux 上 。 
(2) 扫描 执行 

具体 扫描 执行 命令 如 下 。 


(3) 扫描 结果 
扫描 结果 存放 在 当前 执行 目录 下 的 Result 文件 夹 里 。 
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3. Nessus 


口 功能 检查 系统 存在 有 待 加 强 的 弱点 ， 电 信 运 营 商 、IT 公司 、 各 类 安全 机 构 也 
普遍 认可 该 工具 的 权威 性 ， 通 常 都 会 使 用 它 作 为 安全 基线 扫描 工具 。 

口 适用 对 象 ”UNIXWLinux，MS Windows。 

本 文 主要 介绍 Nessus 安装 在 Windows 系统 下 的 用 法 。 

(1) 扫描 准备 

将 Nessus 安装 在 一 Windows 机 器 上 ， 使 用 Nessus-3[1].2.1.1 版 本 ， 不 用 注册 码 。 

由 于 是 C/S 模式 ， 客 户 端 要 连接 服务 器 扫描 ， 在 客户 端 连 接 服 务 端 时 ， 此 版 本 服务 
端的 了 P 只 能 设 成 127.0.0.1， 才 可 以 连接 成 功 。 

(2) 扫描 执行 

扫描 Linux 机 器 必须 设置 ssh 用 户 名 密码 (如 下 )， 其 他 默认 设置 。 

扫描 Windows 机 器 必须 设置 ssh 用 户 名 密码 ， 其 他 默认 设置 。 

(3) 扫描 结果 

扫描 完 后 ， 只 需 在 REPORT 标签 项 将 结果 导出 指定 目录 下 就 可 以 了 。 


4. MBSA 


口 功能 微软 免费 提供 的 安全 检测 工具 ，Microsoft 基准 安全 分 析 器 ( Microsoft 
Baseline Security Analyzer，MBSA ) 是 微软 公司 整个 安全 部 署 方案 中 的 一 种 ， 它 
目前 的 主要 版 本 是 v1.2.1。 该 工具 允许 用 户 扫描 一 台 或 多 台 基于 Windows 的 计 
算 机 ， 以 发 现 常见 的 安全 方面 的 配置 错误 。MBSA 将 扫描 基于 Windows 的 计算 
机 ， 并 检查 操作 系统 和 已 安装 的 其 他 组 件 (如 IIS 和 SQL Server )， 以 发 现 安全 
方面 的 配置 错误 ， 并 及 时 通过 推荐 的 安全 更 新 进行 修补 。 
口 适用 对 象 ”MBSA V1.2 能 够 扫描 运行 以 下 系统 的 计算 机 : Windows NT4、 
Windows 2000、Windows XP Professional、Windows XP Home Edition 和 Windows 
Server 2003。MBSA 能 够 从 运行 以 下 系统 的 任何 一 台 计 算 机 上 执行 : Windows 
2000 Professional、Windows 2000 Server、Windows XP Home、Windows XP 
Professional 或 Windows Server 2003。Windows 系统 扫描 ，MBSA 不 像 SUS 之 类 
的 产品 那样 丰富 和 全 面 ， 但 却 能 够 迅速 地 找 出 系统 存在 的 安全 隐患 ， 特 别 适合 
个 人 用 户 和 小 型 网 络 环境 ( 如 对 等 网 络 ) 使 用 。 
本 文 介绍 MBSA 扫描 Windows 系统 。 
(1) 扫描 准备 
将 MBSA 安装 在 要 扫描 的 Windows 机 器 上 ,使 用 版 本 可 以 为 MBSASetup-x86-EN.msi。 
(2) 扫描 执行 
MBSA 每 次 运行 时 都 会 尝试 从 微软 网 站 下 载 一 个 mssecure.cab 文件 ， 这 是 一 个 压缩 
的 XML 文件 ， 它 列 出 了 所 有 最 近 的 更 新 。 如 果 本 地 网 络 上 有 SUS 服务 器 ，MBSA 可 以 
配制 成 从 SUS 下 载 的 mssecure.cab 文件 (而 不 是 从 微软 下 载 ) 一 一 当然 , MBSA 只 能 
据 它 所 使 用 的 mssecure.cab 文件 报告 尚未 安装 的 更 新 。 
执行 全 面 的 MBSA 扫 描 需 要 目标 系统 上 的 管理 员 权限 ,如 图 14-4 所 示 , 运行 mbsa.exe 
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启动 MBSA 的 图 形 界 面 的 版 本 ， 图 形 界面 的 优点 是 简单 易 用 ， 可 以 直观 地 设置 要 扫描 的 
计算 机 和 扫描 类 型 。 设 置 扫描 目标 的 方法 是 单 击 Pick a computer to scan 或 Pick multiple 
computers to scan 按钮 ， 输 入 一 个 他 地址、 一 个 他 地址 范围 或 一 个 域名 。 


oft Baseline 


Baseline Security Analyzer 


Pick a computer to scan 


Specily Ihe compuies you want io scan You can entes ether the computer name ol its IP address. 
Welcome 
Piek acompster to scan Deb i 
DD Pick miple computers to scan Wp [FaNG TOMPANYY lhis computel 


© Pek s recuny repont Pode 四 四 加 本 
View a vecuriy 


EE TE 
A SD demo XX = compuer, XT = ddle and ime. 
口 站 回 check for Windows rnerabihes 

回 check for weak passwords 

回 Check for lS yunerablies 

D Microsoh Soeurly Web thle 回 Check for SQL wunerablises 

回 Check for securly pdales 

口 usesus Server 


O Abou Microsoht Baseline Securly 
Anayaer 


Leam rore aboul Scarring Options 
Stet con 
图 14-4 设置 扫描 目标 


其 次 是 设置 扫描 选项 ， 例 如 检查 Windows 漏洞 等 ， 另 外 还 可 以 指定 一 个 SUS 服务 
器 , 让 MBSA 从 SUS 服务 器 下 载 一 个 软件 更 新 的 清单 与 各 目标 机 器 比较 ; 如 不 指定 SUS 
服务 器 ， MBSA 将 从 微软 网 站 下 载 软件 更 新 的 清单 。 默认 情况 下 ,图 形 界面 的 MBSA 将 
执行 微软 所 谓 的 “基线 扫描 ”， 即 只 扫描 和 报告 Windows Update 定义 的 “关键 更 新 ” 而 
不 是 扫描 和 报告 所 有 的 安全 更 新 。 

在 图 14-4 中 ， 单 击 Start scan 按钮 开始 扫描 。 扫 描 所 需 的 时 间 与 具体 的 扫描 项 目 和 


机 器 数量 有 关 。 
MBSA 可 以 选择 要 扫描 的 计算 机 包括 如 下 。 
口 单 台 计算 机 


MBSA 最 简单 的 运行 模式 是 扫描 单 台 计算 机 ， 典 型 情况 表现 为 “自动 扫描 ”。 当 选 
择 “ 选 取 一 台 计算 机 进行 扫描 ”时 ， 可 以 选择 输入 想 对 其 进行 扫描 的 计算 机 的 名 称 或 人 ? 
地 址 。 默 认 情 况 下 ， 当 用 户 选 中 此 选项 时 ， 所 显示 的 计算 机 名 将 是 运行 该 工具 的 本 地 计 
算 机 。 

口 多 台 计算 机 

如 果 用 户 选择 “选取 多 台 计 算 机 进行 扫描 ”时 ， 将 有 机 会 扫描 多 台 计 算 机 ， 还 可 以 
选择 通过 输入 域名 扫描 整个 域 , 还 可 以 指定 一 个 了 地 址 范围 并 扫描 该 范围 内 的 所 有 基于 
Windows 的 计算 机 。 

如 要 扫描 一 台 计 算 机 , 需要 管理 员 访 问 权 。 在 进行 “自动 扫描 ”时 , 用 来 运行 MBSA 
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的 账户 也 必须 是 管理 员 或 者 是 本 地 管理 员 组 的 一 个 成 员 。 当 要 扫描 多 台 计 算 机 时 ， 必 须 
是 每 一 台 计 算 机 的 管理 员 或 者 是 一 名 域 管理 员 。 

扫描 类 型 包括 以 下 几 种 。 

口 MBSA 典型 扫描 

MBSA 典型 扫描 将 执行 扫描 并 且 将 结果 保存 在 单独 的 XML 文件 中 ， 这 样 就 可 以 在 
MBSA GUI 中 进行 查看 (这 与 MBS AV1.1.1 一 样 )。 可 以 通过 MBSA GUI 接口 (mbsa.exe) 
或 MBSA 命令 行 接口 (mbsacliexe) 进行 MBSA 典型 扫描 。 这 些 扫描 包括 全 套 可 用 的 
Windows、IIS、SQL 和 安全 更 新 检查 。 

每 次 执行 MBSA 典型 扫描 时 ， 都 会 为 每 一 台 接 受 扫 描 的 计算 机 生成 一 个 安全 报告 ， 
并 保存 正在 运行 MBSA 的 计算 机 中 。 这 些 报告 的 位 置 将 显示 在 屏幕 项 端 (存储 在 用 户 配 
置 文件 文件 夹 中 )。 安 全 报告 以 XML 格式 保存 。 

用 户 可 以 轻松 地 按照 计算 机 名 、 扫描 日 期 、IP 地 址 或 安全 评估 对 这 些 报告 进行 排序 。 
此 功能 能 够 轻松 地 将 一 段 时 间 内 的 安全 扫描 加 以 比较 。 

口 HFNetChk 典型 扫描 

HFNetChk 典型 扫描 将 只 检查 缺少 的 安全 更 新 ， 并 以 文本 的 形式 将 扫描 结果 显示 在 
命令 行 窗 口中 ， 这 与 以 前 独立 版 本 的 HFNetChk 处 理 方法 是 一 样 的 。 这 种 类 型 的 扫描 可 
以 通过 带 有 “/hf” 开 关 参 数 (指示 MBSA 工具 引擎 进行 HFNetChk 扫描 ) 的 mbsacli.exe 
来 执行 。 注 意 ， 可 以 在 Windows NT 4.0 计算 机 上 本 地 执行 这 种 类 型 的 扫描 。 

口 网 络 扫描 

MBSA 可 以 从 中 央 计 算 机 同时 对 多 达 10 000 台 计 算 机 进行 远程 扫描 (假定 系统 要 求 
与 自述 文件 中 列 出 的 一 样 )。MBSA 被 设计 为 通过 在 每 台所 扫描 的 计算 机 上 拥有 本 地 管 
理 权限 的 账户 ， 在 域 中 运行 。 

在 防火 墙 或 过 滤 路 由 器 将 两 个 网 络 分 开 的 多 域 环境 中 两 个 单独 的 Active Directory 
域 ),TCP 的 139 端口 和 445 端口 以 及 UDP 的 137 端口 和 138 端口 必须 开放 , 以 便 MBSA 
连接 和 验证 所 要 扫描 的 远程 网 络 。 

(3) 扫描 结果 

扫描 的 结果 默认 存在 C:\Documents and Settings\Administrator\SecurityScans 目录 下 ， 
每 一 台 计 算 机 分 别 有 一 个 独立 的 XML 格式 的 报告 ， 每 个 报告 文件 的 体积 约 为 20KB。 

扫描 结束 后 ， 单 击 Pick a security report to view 按钮 并 查看 安全 报告 。MBSA 允许 按 
计算 机 名 称 、IP 地 址 、 扫 描 日 期 排序 报告 文件 ， 不 过 几 遍 扫描 下 来 ， 文 件 夹 里 面 仍 会 堆 
积 起 大 量 的 文件 ， 所 以 最 好 及 时 删除 过 时 的 报告 。 

如 果 是 第 一 次 用 MBSA 扫描 网 络 , 很 可 能 得 到 一 份 让 人 大 吃 一 惊 的 报告 一 一 新 安装 
的 系统 ， 无 论 是 Win 2000 还 是 XP， 都 无 法 通过 MBSA 的 扫描 检查 。 

MBSA 不 能 提供 综合 性 的 报告 ， 所 有 报告 都 是 针对 单 台 机 器 的 。 单 击 一 台 计算 机 的 
名 称 ，MBSA 显示 出 这 台 机 器 的 安全 漏洞 和 未 安装 补丁 的 摘要 报告 ， 如 图 14-5 所 示 。 
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14-5 单机 报告 


对 于 大 多 数 发 现 的 问题 MBSA 会 提供 进一步 的 详细 资料 。 例如, 假设 MBSA 报告 
Password Expiration〔 密 码 过 期 ) 检测 没有 通过 ， 单 击 Result details 按钮 可 以 看 到 哪 一 个 
账户 的 密码 被 设置 为 永 不 过 期 。 另 外 ，What was scanned 和 How to correct this 提供 了 直 
接 指向 MBSA 帮助 文件 的 链接 ， 详 细 解 释 已 经 发 现 的 问题 及 解决 办 法 。 

MBSA 的 摘要 报告 分 5 个 部 分 , 即 Security Update Scan Results( 安全 更 新 扫描 结果 )、 
Windows Scan Results (Windows 扫描 结果 )、 Internet Information Services Scan Results (IIS 
扫描 结果 )、 SQL Server Scan Results (SQL Server 扫描 结果 ) 以 及 Desktop Application Scan 
Results (桌面 应 用 程序 扫描 结果 )。 例如 ,在 Windows Scan Results 中 , MBSA 将 非 NTFS 
分 区 和 启用 GUEST 账户 视 为 安全 隐患， 将 具体 的 审核 设置 、 服 务 状态 和 共享 资源 当 作 
附加 信息 。MBSA 将 报告 被 扫描 机 器 的 所 有 共享 资源 ， 包 括 共享 级 别 以 及 目录 的 ACL 
设置 。 

综 上 所 述 ， 虽然 MBSA 不 像 SUS 之 类 的 产品 那样 丰富 和 全 面 ， 但 却 能 够 迅速 地 找 
出 系统 存在 的 安全 隐患 ， 特 别 适合 个 人 用 户 和 小 型 网 络 环境 (如 对 等 网 络 ) 使 用 。 
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第 15 竟 ”操作 系统 加 固 


。 操作 系统 加 固 的 概念 

。 安全 操作 系统 必要 的 组 成 部 分 

。 安全 检查 列表 的 重要 性 

。 操作 系统 特定 的 安全 特性 

。 基本 的 文件 系统 安全 

通过 对 大 量 的 操作 系统 进行 分 析 发 现 ， 操 作 系统 存在 大 量 的 安全 漏洞 。 另 外 ， 相 关 
数据 表明 简单 但 高 效 的 安全 实践 能 够 有 效 地 阻止 对 系统 攻击 。 目 前 ， 已 经 产生 了 一 些 基 
本 原则 来 维护 系统 的 安全 。 应 用 有 效 的 安全 实践 ， 能 够 减少 大 量 导致 个 人 或 企业 损失 的 
安全 风险 。 

管理 员 必 须 了 解 系统 最 常见 的 威胁 ， 并 且 能 够 对 系统 安全 策略 进行 审查 以 确保 解决 
这 些 安全 威胁 。 本 章 讨 论 了 对 操作 系统 进行 加 固 的 必须 步骤 ， 包 括 保证 操作 系统 安全 的 
基本 策略 , 以 及 把 这 些 规则 形式 化 为 适用 于 Windows 系统 和 UNIX 系 统 的 安全 检查 列表 。 


15.0 操作 系统 加 固 的 原则 和 做 法 


构建 安全 系统 的 第 一 步 就 是 要 创建 一 个 完整 全 面 的 安全 策略 ， 当 然 ， 可 靠 的 安全 策 
略 仅 是 一 个 起 点 。 根 据 安全 策略 的 安全 实践 对 系统 实施 安全 控制 ， 用 户 必 须根 据 策略 的 
建议 实施 安全 行为 ， 以 保证 采取 的 安全 控制 是 适当 高 效 的 ， 这 是 一 项 花费 时 间 和 资源 的 
任务 。 要 确保 软件 保持 最 新 版 本 ， 并 且 保 证 所 有 已 知 的 安全 漏洞 都 已 被 关闭 是 件 很 不 容 
易 的 事情 。 事 实 上 ， 仅 是 了 解 哪些 是 严重 的 安全 漏洞 就 已 经 很 不 容易 了 。 用 户 需要 建立 
一 个 明确 的 规则 来 检查 和 更 新 软件 、 硬 件 以 及 安全 策略 ; 为 不 同 的 用 户 分 配 任务 ;设置 
时 间 表 。 其 实 ， 基 本 的 主动 防御 就 能 够 阻止 大 量 的 安全 违规 行为 。 

用 户 的 总 体 目标 就 是 加 固 系 统 ， 也 就 是 采取 措施 使 系统 更 加 安全 。 操 作 系统 加 固 包 
括 许多 任务 ， 如 在 封闭 的 计算 机 机 房 中 保存 敏感 的 服务 器 ， 构 建 复杂 的 口令 策略 ， 以 及 
监视 网 络 的 登录 情况 。 加固 系统 是 一 个 反复 进行 并 且 不 断 变化 的 过 程 ， 需 要 耐心 和 恒心 。 
加 固 结果 使 系统 能 够 抵抗 攻击 ， 并 且 保 护 系统 内 部 的 数据 。 为 了 实现 这 个 目的 ， 用 户 需 
要 首先 评估 系统 当前 的 安全 水 平 ， 然 后 执行 必要 的 调整 ， 并 且 对 这 些 改变 进行 测试 ， 之 
后 ， 需 要 不 断 重 复 这 些 步 又。 

用 户 加 固 的 过 程 也 要 从 最 初 的 安全 策略 开始 。 首 先 应 该 识别 系统 的 威胁 ， 然 后 选择 
合适 的 安全 控制 手段 。 用 户 在 执行 了 一 次 安全 控制 的 全 过 程 之 后 ， 对 安全 策略 进行 完整 
性 和 有 效 性 检查 应 该 是 一 项 简单 的 任务 。 但 是 ， 不 要 偷懒 ， 为 系统 维持 有 效 的 安全 策略 
是 非常 重要 的 ， 安 全 策略 一 旦 过 时 ， 也 就 失去 了 保证 系统 安全 的 能 力 。 


操作 系统 加 固 


2 操作 系统 安全 维护 


保持 系统 安全 是 风险 非常 高 的 一 件 事情 。 用 户 必须 处 于 系统 攻击 者 的 前 面 。 系 统 攻 
击 者 可 以 试图 在 未 授权 的 情况 下 访问 计算 机 的 任何 人 。 访 问 系统 时 ， 攻 击 者 常 有 恶意 企 
图 。 许 多 人 使 用 黑客 一 词 来 指 代 攻击 者 。 真 正 的 黑客 通常 并 不 具有 恶意 企图 ， 而 只 是 享 
受 编程 过 程 中 的 学 习 乐 趣 。 然 而 ， 攻 击 者 和 黑客 经 常 交换 使 用 。 用 户 的 目标 是 避免 成 为 
受害 者 。 攻 击 者 之 间 常 共享 系统 漏洞 并 分 享 经 验 。 一 旦 攻击 者 利用 一 个 新 的 系统 漏洞 进 
行 攻击 ， 这 个 方法 就 会 出 现在 取证 报告 中 。 有 关 新 漏洞 的 消息 就 成 为 了 焦点 ， 经 过 一 段 
时 间 之 后 ， 硬 件 或 软件 的 制造 者 就 会 发 布 一 些 补丁 来 减少 问题 之 后 相关 的 攻击 就 会 
变 少 。 

用 户 系统 最 可 能 被 攻击 的 时 间 是 在 新 漏洞 被 发 现 后 不 久 。 对 新 出 现 的 漏洞 及 其 应 对 
普 施 保持 更 新 是 非常 重要 的 。 有 些 时 候 尽管 用 户 不 能 把 自己 的 系统 变 得 牢固 不 可 攻破 ， 
但 可 以 使 攻击 者 对 自己 的 系统 失去 兴趣 。 攻 击 者 很 可 能 放弃 你 的 系统 去 而 去 寻找 一 个 更 
加 容易 的 目标 。 

为 了 保持 对 新 出 现 威胁 的 更 新 ， 其 最 基本 的 步骤 是 保证 操作 系统 以 及 软件 是 最 新 版 
的 。 用 户 要 咨询 操作 系统 供应 商 以 及 系统 的 所 有 重要 软件 的 提供 者 来 了 解 如 何 保持 更 新 。 

尽管 补丁 的 绝对 数量 可 能 很 大 , 但 是 在 安装 补丁 之 前 要 确保 已 经 理解 了 补丁 的 功能 。 285 
在 安装 新 的 软件 之 前 ， 同 样 要 确保 拥有 有 效 的 系统 备份 。 因 为 有 些 时 候 ， 用 户 安 装 的 补 
丁 可 能 会 导致 系统 不 可 用 。 在 这 种 情况 下 ， 一 个 直接 的 恢复 途径 是 非常 重要 的 ， 这 就 需 
要 有 一 个 当前 的 系统 备份 。 要 记录 下 已 经 在 系统 中 安装 的 软件 ， 并 且 保持 更 新 。 攻 击 者 
对 系统 进行 扫描 ， 看 到 最 新 更 新 的 软件 时 ， 可 能 会 放弃 攻击 这 个 用 户 。 


15.3 安装 安全 检查 软件 


对 系统 进行 加 固 的 最 好 的 方法 之 一 就 是 使 用 安全 检查 列表 。 要 记 住 关闭 系统 中 所 有 
安全 漏洞 所 必须 的 步骤 是 不 可 能 的 。 安 全 检查 列表 能 够 随时 跟踪 用 户 的 行为 ， 避 免 用 户 
忘记 重要 的 系统 检查 和 修改 。 用 户 在 进行 一 项 重要 工作 的 时 候 ， 也 需要 使 用 安全 检查 列 
表 ， 这 能 简化 任务 。 

安全 检查 列表 的 产生 方式 决定 了 它 的 效力 。 一 个 好 的 检查 列表 是 根据 大 量 的 经 验 以 
及 安全 专家 的 意见 形成 的 。 这 个 列表 应 该 是 过 去 保护 计算 机 安全 的 所 有 方法 的 总 结 ， 包 
括 已 经 采取 的 措施 以 及 还 没有 采取 的 措施 。 当 系统 安全 非常 重要 的 时 候 ， 用 户 可 以 应 用 
一 个 在 安全 环境 中 开发 和 测试 的 检查 列表 。 用 户 完 成 每 一 个 步骤 之 后 ， 要 花 一 些 时 间 记 
录 下 工作 进展 ， 并 做 一 些 适 当 的 标记 。 用 户 需 要 对 检查 列表 不 断 进行 更 新 ， 以 反映 出 最 
新 的 信息 和 经 验 。 随 着 系统 和 软件 的 不 断 改变 ， 保 证 信息 安全 所 需要 的 步骤 也 应 该 不 断 
地 更 新 。 

对 于 检查 列表 ， 每 一 个 操作 系统 都 有 不 同 的 行为 条 目 ， 尽 管 这 其 中 的 许多 概念 都 是 
相同 的 ， 用户 也 会 发 现 对 于 不 同 的 系统 功能 也 需要 不 同 的 检查 列表 。 用 户 在 保护 Web 服 
务 器 安全 所 采取 的 措施 和 保护 数据 库 服务 器 安全 所 采取 的 措施 很 可 能 是 不 一 样 的。 尽管 
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操作 系统 可 能 是 相同 的 ， 但 是 对 于 两 种 不 同类 型 的 计算 机 用 户 很 可 能 会 使 用 不 同 的 软件 
和 访问 请 求 。 用 户 需要 创建 和 维护 所 需 的 不 同 检查 列表 ， 但 要 注意 不 能 创建 得 太 多 。 一 
个 好 的 检查 列表 要 不 断 地 成 熟 ， 拥 有 太 多 的 检查 列表 会 使 得 系统 维护 变 得 异常 困难 。 

创建 安全 检查 列表 的 第 一 步 是 要 创建 一 个 标准 列表 。 用 户 可 以 在 操作 系统 供应 商 的 
Web 站 点 上 查询 安全 检查 列表 ,同时 也 要 访问 其 他 提供 系统 管理 策略 的 Web 站 点 。 使 用 
标准 列表 作为 一 个 起 点 ， 然 后 根据 自己 的 环境 对 这 些 规则 进行 改进 。 下 面 的 部 分 列 出 了 
Windows 和 UNIX 系统 的 一 些 基本 的 行为 条 目 。 这 些 只 是 起 点 ， 用 户 还 需要 将 自 定义 项 
目 加 载 到 列表 中 。 


@ --15.3.1 Windows 安全 检查 列表 、 

对 计算 机 进行 保护 就 是 实施 一 系列 的 行为 ， 避 免 可 能 伤害 到 系统 或 系统 支持 的 数据 
的 行为 发 生 ， 这 是 一 个 概括 的 叙述 。 如 果 用 户 在 组 织 中 使 用 多 种 操作 系统 ， 就 需要 分 别 
关注 每 一 种 操作 系统 的 特殊 需要 。 首 先 讲述 Windows 操作 系统 的 安全 检查 列表 ， 它 由 4 
个 基本 方面 组 成 。 

1. 加 固 Windows 注册 表 


Windows 操作 系统 中 ， 注 册 表 是 系统 信息 的 中 心 存储 库 。 操 作 系 统 的 任何 操作 都 需 
要 使 用 注册 表 这 个 数据 库 。 注 册 表 的 值 存 储 在 注册 表 键 值 (registry keys) 中 ， ue 
树 型 层次 结构 管理 的 。 如 果 想 要 修改 注册 表 的 键 值 , 在 Windows 桌面 选择 “开始 ”一 “ 运 
行 ”命令 , 在 打开 的 文本 框 中 输入 “regedit.exe ”或 “regedt32.exe”, 单 击 OK 按钮 ， ee 
注册 表 编 辑 器 就 打开 了 。 当 然 还 有 其 他 第 三 方 的 应 用 程序 可 以 用 来 编辑 注册 表 。 

在 微软 的 网 页 http:/www.winguides.com/registry/ 上 可 以 看 到 更 多 关于 注册 表 的 
信息 。 

表 15-1 列 出 了 加 固 Windows 时 需要 考虑 的 一 些 Windows 注册 表 的 键 值 。 

表 15-1 和 安全 相关 的 常见 Windows 注册 表 键 值 


功能 描述 键 值 名 称 

阻止 访问 特定 驱动 器 的 内 容 NoViewOnDrive 

限制 用 户 能 够 运行 的 应 用 程序 RestrictRun 

关闭 注册 表 编 辑 工具 DisableRegistryTools 

关闭 关机 (shutdown) 命令 NoClose 

关闭 Windows 热 键 NoWinKeys 

限制 对 Windows 升级 特性 的 访问 NoWindowsUpdate 

管理 系统 策略 升级 UpdateMode, NetworkPath, Verbose, Load 
Balance 

限制 更 改 用 户 文件 夹 位 置 DisablePersonalDirChange, DisableMy 
PicturesDirChange, DisableMyMusic- 
DirChange, DisableFavoritesDirChange 

应 用 基于 用 户 的 定制 外 壳 Shell 


仔细 研究 表 15-1 列 出 的 数值 ,然后 为 系统 选择 最 合适 的 值 。 同 样 可 以 向 微软 网 站 以 
及 其 他 Windows 相关 的 站 点 来 咨询 关于 Windows 注册 表 的 更 深层 次 的 内 容 。 另 外 ， 在 
Windows XP 系统 中 ， 用 户 可 以 为 每 个 Windows 注册 表 键 值 赋予 11 个 权限 。 对 于 每 个 键 
值 ， 单 击 ， 然 后 选择 权限 ， 可 以 为 每 个 键 值 设 定 权限 ， 完 成 键 创建 ， 子 键 创建 、 键 删除 ， 
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以 及 8 种 其 他 权限 。 可 以 为 受 保护 的 键 值 设 定 明确 的 键 值 权限 ， 以 避免 未 授权 的 更 改 。 


2. 删除 不 必要 的 服务 


Windows 操作 系统 的 默认 安装 设置 为 用 户 提供 了 很 多 精心 制作 的 功能 ， 但 使 用 这 些 
功能 也 要 花费 一 定 的 代价 。 这些 附加 功能 的 运行 会 浪费 宝贵 的 CPU 资源 , 并 且 给 攻击 者 
提供 了 入 侵 系统 的 机 会 。 简 而 言 之 ， 附 加 的 服务 提供 了 更 多 的 系统 登录 点 。 加 固 操 作 系 
统 ， 用 户 要 确保 已 经 关闭 了 那些 不 必要 的 服务 。 表 15-2 列 出 了 几 种 用 户 系统 可 能 不 需要 


的 常见 服务 。 


表 15-2 Windows 系统 中 用 户 可 能 不 需要 的 几 种 服务 


服务 名 称 
文件 共享 


打印 机 共享 
Intemet 信息 服务 (IIS) 


网 络 会 议 远 程 桌面 共 享 
〈NetMeeting Remote Desktop 
Sharing) 
远程 桌面 帮助 会 话 管理 员 
(Remote Desktop Help Session 
Manager) 
远程 注册 


路 由 和 远程 访问 〈Routing and 
Remote ) 

SSDP 目录 服务 (SSDP 
Discovery Service) 

Universal Plug and Play Device 
Host 

远程 登录 


功能 描述 

允许 远程 用 户 访问 本 地 磁 
盘 和 文件 

允许 远程 用 户 是 用 本 地 打 
印 机 打印 

微软 的 Web 服务 器 


允许 他 人 共享 桌面 


允许 运程 支持 


允许 远程 用 户 修改 和 维护 
允许 对 系统 的 远程 访问 


支持 普遍 的 PnP 服务 


允许 系统 连接 到 网 络 上 可 
用 的 设备 

允许 远程 用 户 登 录 到 系 
统 上 


注释 
关闭 此 项 服务 


关闭 此 项 服务 


除非 管理 一 个 Web 站 点 ， 否 则 不 要 
安装 此 项 服务 
除非 需要 ， 和 否则 关闭 该 服务 


除非 需要 执行 远程 支持 ， 和 否则 关闭 
该 服务 


如 果 不 打算 远程 管理 注册 表 ， 关 闭 
该 服务 

除非 需要 拨号 访问 系统 ， 和 否则 关闭 
该 服务 

关闭 该 服务 ， 关 闭 5000 号 端口 


关闭 该 服务 
因为 所 有 的 信息 ， 包 括 口令 都 是 以 


明文 方式 传递 的 ， 关 闭 该 服务 ， 使 
用 SSH 


3. 网 络 协 议和 网 络 服务 加 固 


对 于 那些 不 能 关闭 的 剩余 服务 ， 用 户 要 尽量 限制 对 其 进行 访问 。 下 面 列 出 了 用 户 需 


要 处 理 的 一 些 方面 。 
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(1) 使 用 防火 墙 。 用户 可 以 使 用 硬件 防火 墙 或 者 是 软件 防火 墙 。 硬 件 防火 墙 可 以 在 
任何 时 候 保 护 用 户 ， 软 件 防火 墙 只 能 在 软件 运行 的 时 候 对 用 户 进行 保护 。 如 果 用 户 的 系 
统 连接 在 互联 网 上 ， 要 保证 防火 墙 是 开启 的 。 同 时 ， 要 确保 防火 墙 是 合理 设置 的 。 

(2) 关闭 所 有 不 需要 的 网 络 协议 。 

(3) 对 所 有 和 远程 访问 以 及 远程 联网 相关 的 服务 进行 检查 ， 考 察 是 否 真正 需要 每 一 
项 服务 。 对 于 自己 不 能 识别 的 服务 ， 可 以 咨询 微软 的 网 站 以 获得 另外 的 信息 。 用 户 在 做 
任何 更 改 之 前 ， 先 创建 一 个 系统 基线 。 如 果 用 户 对 系统 进行 的 改变 引起 了 负面 作用 ， 就 
可 以 返回 到 基线 。 


4. 对 系统 服务 、 设 置 和 文件 进行 加 固 


除了 之 前 所 讨论 的 这 些 措施 ， 下 面 给 出 了 另外 一 些 用 户 不 能 忽视 的 部 分 。 

(1) 保证 计算 机 的 物理 安全 。 采 取 措 施 保证 没有 权限 的 人 远离 计算 机 ， 尤 其 是 服 
务 器 。 

(2) 及 时 更 新 Windows 操作 系统 的 补丁 。 微 软 通过 Email 或 直接 的 系统 信息 向 用 户 
提供 及 时 的 更 新 通知 。 访 问 微软 的 http://windowsupdate.microsoft.com 网 页 ， 获 得 更 多 的 
信息 。 

(3) 使 用 Microsoft Baseline Security Analyzer (MBSA) 来 对 系统 安全 进行 评估 。 访 
问 站 点 http:/www.microsoft.com， 找 到 HFNetChk， 下 载 、 安 装 并 且 运 行 这 个 应 用 程序 。 
用 户 很 可 能 还 需要 下 载 并 安装 额外 的 补丁 。 

(4) 在 日 常 使 用 时 ， 不 要 设置 管理 员 账 户 ， 为 每 一 个 用 户 设 置 单 独 的 用 户 账户 。 

(5) 关闭 guest 账户 。 

(6) 确保 所 有 用 户 使 用 口令 ， 并 且 保证 一 个 口令 都 遵循 强 口令 策略 。 实 施 强 口令 的 
一 种 方法 就 是 定期 地 在 电脑 上 运行 口令 破解 程序 。 

(7) 在 系统 上 安装 反 病 毒 软件 包 。 执 行 全 面 的 系统 病毒 扫描 并 确保 完全 的 病毒 防御 
功能 。 确 保 软件 以 及 签名 数据 库 是 最 新 版 本 的 。 在 更 新 之 后 ,立即 运行 全 面 的 系统 扫描 。 

(8) 确保 所 有 的 备份 介质 是 受 保护 的 ， 远 离 破坏 和 偷盗 。 

(9) 为 Windows XP 系统 运行 加 密 文件 系统 。 

(10) 运行 系统 审计 功能 。 

(11) 关闭 CD-ROM 自动 运行 功能 。 


@ - 15.3.2 UNIX 安全 检查 列表 -， 


加 固 UNIX 系统 时 考虑 的 因素 和 加 固 Windows 系统 时 考虑 的 因素 是 很 相似 的 。 尽 管 
理念 类 似 ， 但 两 个 系统 之 间 还 是 存在 本 质 区 别 ， 所 以 需要 在 每 一 种 环境 中 针对 每 一 种 不 
同 的 系统 做 单独 的 讨论 。 下面 ， 讨 论 在 加 固 UNIX 系统 时 ， 用 户 必须 处 理 的 一 些 方面 。 


1. 删除 不 必要 的 UNIX 协议 和 服务 


和 其 他 操作 系统 一 样 ， 用 户 应 该 关闭 所 有 不 必要 的 协议 和 服务 。 表 15-3 列 出 UNIX 
系统 不 常用 的 服务 和 守护 进程 。 为 了 获得 最 大 的 系统 安全 ， 需 要 将 这 些 程序 关闭 ， 只 在 
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用 户 真正 需要 的 时 候 再 开启 。 这 种 方法 会 花费 一 些 时 间 ， 但 是 用 户 却 能 找到 自己 真正 需 
要 的 服务 。 对 于 从 守护 进程 inet.d 开始 的 服务 ， 需 要 编辑 /etc/inet.d 文件 。 在 每 一 行 开始 
的 地 方 加 一 个 “#” 标 志 ， 就 能 阻止 这 个 命令 行 所 描述 的 服务 在 系统 启动 的 时 候 运 行 。 


表 15-3 UNIX 系统 中 用 户 不 需要 的 几 种 服务 


服务 名 称 功能 描述 注释 

远程 访问 (Telnetd) 允许 远程 用 户 访问 关闭 该 守护 进程 ， 使 用 SSH 

Fingerd 提供 系统 上 用 户 的 相关 信息 除非 是 必须 的 ， 关 闭 该 守护 进程 

R-commands (rlogin,，rsh， ”人 允许 远程 用 户 和 系统 进行 交互 ”关闭 该 命令 

rep, ...) 作用 

Cron 在 指定 时 间 执 行 命令 拒绝 普通 用 户 的 Cron 

RPC 远程 过 程 调用 如 果 不 是 必须 的 ， 关 闭 该 服务 

Ftpd 使 用 文件 传输 协议 (FTP) 传输 ”如 果 不 需要 提供 FTP 访问 ， 关 闭 

文件 该 服务 

TFTP 使 用 FTP 简单 版 本 传输 文件 关闭 该 程序 

UNIX to UNIX copy (UUCP) ”传输 文件 关闭 该 服务 

Sendmail 发 送 以 及 运送 电子 邮件 除非 需要 处 理 电 子 邮 件 , 否则 关闭 
该 服务 。 需 要 处 理 电 子 邮件 时 , 考 
虑 其 他 方法 


NFS，SAMBA，AFS，DFS ”提供 对 文件 和 内 存 的 网 络 访问 ”除非 必须 ， 否 则 关闭 该 服务 


2. 使 用 TCPWrapper 


攻击 者 用 来 和 目标 系统 进行 通信 最 常用 的 协议 就 是 TCP 协议 。 不 幸 的 是 , 这 也 是 所 
有 其 他 人 最 常 使 用 的 协议 。 关 闭 所 有 TCP 通信 能 够 使 系统 更 安全 ， 但 同时 也 会 使 系统 无 
法 在 正常 情况 下 通信 。 有 一 种 方法 能 够 使 用 户 获 得 更 好 的 TCP 安全 而 又 不 必 放 弃 TCP 
功能 。 一 个 好 的 防火 墙 能 够 把 许多 通信 在 到 达 用 户 系统 之 前 过 滤 掉 。 但 是 ， 用 户 仍然 需 
要 检查 通过 防火 墙 的 数据 包 。.TCPWrapper 包 给 了 用 户 进一步 过 滤 通 信和 以 及 记录 可 疑 行为 
的 能 力 。 

TCPWrapper 是 tcpd 守护 进程 更 常见 的 名 字 ， 用 来 拦截 和 检查 所 有 的 TCP 通信 并 决 
定 接受 还 是 拒绝 每 一 个 请 求 。TCPWrapper 对 发 送 方 的 IP 地 址 进行 双向 〈double-reverse) 
查找 来 寻找 欺骗 地 址 。 如 果 DNS 的 记录 和 请 求 数据 包 中 的 IP 地 址 不 一 致 ， 这 个 请 求 就 
会 被 拒绝 ， 并 被 记录 为 一 个 失败 的 链接 请 求 。 如 果 这 两 个 地 址 一 致 ，TCPWrapper 就 将 源 
主机 名 以 及 被 请 求 的 服务 和 访问 控制 列表 进行 比较 来 决定 是 否 允 许 请 求 。 如 果 到 这 一 步 
时 ， 没 有 出 现 异常 ， 这 个 请 求 就 会 被 记录 下 来 ， 同 时 可 能 会 运行 一 个 可 选 的 程序 ， 这 个 
请 求 被 通过 并 且 到 达 “ 真 正 的 ”守护 进程 。 

TCPWrapper 能 够 截获 所 有 的 TCP 通信 ， 并 且 在 数据 包 通 往 另 一 个 守护 程序 之 前 ， 
它 能 根据 一 系列 的 行动 进行 裁决 。 不 论 何 种 原因 ， 如 果 请 求 是 可 疑 的 ， 守 护 程序 就 会 够 
终止 这 个 请 求 ， 并 记录 这 个 可 疑 行为 ， 还 很 可 能 运行 一 个 程序 提醒 管理 员 ， 并 且 把 此 请 
求 归档 备份 用 来 进行 之 后 的 调查 。 需 要 注意 的 是 ， 任 何 的 过 滤 机 制 都 会 产生 负面 作用 。 
对 于 每 一 个 可 疑 的 请 求 ， 要 仔细 考虑 是 否 应 该 发 送 一 个 警告 。 管 理 这 类 请 求 的 一 个 更 好 
的 方法 就 是 经 常 检查 TCPWrapper 产生 的 日 志文 件 。 
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3. UNIX 系统 的 其 他 安全 措施 


除了 之 前 所 给 出 的 这 些 措施 ， 还 应 该 实施 以 下 这 些 措施 。 

(1) 保证 计算 机 的 物理 安全 。 采 取 措 施 保证 没有 权限 的 人 远离 计算 机 ， 尤 其 是 服 
务 器 。 

(2) 保证 操作 系统 补丁 及 时 更 新 。 操 作 系统 供应 商 的 网 站 会 有 最 近 更 新 的 信息 。 

(3) 要 保护 高 级 用 户 的 呈 ， 只 在 必须 的 时 候 使 用 它们 。 为 每 一 个 访问 系统 的 用 户 创 
建新 的 用 户 账户 ， 关 闭 无 用 的 账户 。 

(4) 确保 所 有 用 户 都 使 用 口令 ， 并 且 遵 循 强 口令 策略 。 定 期 运行 口令 破解 程序 。 

(5) 安装 防 病毒 软件 补丁 ， 执 行 全 面 的 系统 病毒 扫描 ， 运 行 彻 底 的 病毒 防范 功能 。 
保证 软件 以 及 签名 数据 库 保持 更 新 。 在 任何 升级 之 后 ， 立 即 运行 全 面 的 系统 扫描 。 确 保 
所 有 的 备份 介质 受到 保护 ， 远 离 破坏 和 偷盗 。 

(6) 执行 系统 审计 ， 定 期 查看 审计 日 志 。 

(7) 运行 漏洞 扫描 程序 。 


154 文件 系统 安全 


操作 系统 安全 中 最 重要 的 方面 就 是 用 户 必 须 保 证 文件 系统 的 安全 。 操 作 系 统 的 文件 
系统 是 一 系列 在 次 级 存储 设备 (secondary storage devices) 上 用 于 管理 、 存 储 数 据 和 文件 
的 程序 。 文 件 系统 软件 使 得 用 户 可 以 将 数据 存储 在 硬盘 上 ， 在 使 用 的 时 候 再 将 数据 取 回 
来 。 为 了 方便 查找 文件 ， 文 件 系统 使 用 目录 或 文件 夹 的 树 形 结构 进行 管理 。 当 然 ， 存 储 
介质 也 不 仅 局 限于 硬盘 。 文 件 系统 不 仅 处 理 文件 访问 请 求 ， 而 且 还 处 理 访问 控制 。 

UNIX 和 Windows 文件 系统 都 使 用 树 形 结构 来 管理 文件 。. 树 的 访问 节点 (Entry Point) 
叫做 根 目录 。 一 台 计 算 机 可 能 有 很 多 的 磁盘 ， 每 个 磁盘 能 够 被 分 为 几 个 部 分 ， 叫 做 分 区 。 
每 一 个 磁盘 分 区 通常 有 一 个 独立 的 文件 系统 和 自己 的 根 目 录 。 在 Windows 中 ， 每 一 个 文 
件 系统 有 自己 的 驱动 器 号 (A~Z); 每 一 个 UNIX 文件 系统 有 一 个 载 入 点 。 

从 安全 角度 讲 ， 用 户 了 解 操作 系统 如 何 处 理 安全 是 十 分 重要 的 。 每 一 个 目录 和 文件 
有 着 独立 的 权限 ， 规 定 着 哪个 用 户 可 以 浏览 和 修改 文件 系统 。 下 面 3 个 部 分 包含 了 有 关 
文件 系统 的 问题 。 


1. NT 文件 系统 安全 (NTFS) 


Windows 服务 器 首选 的 文件 系统 是 NT 文件 系统 (NTFS)。 比 起 FAT 文件 系统 ，NT 
系统 更 新 也 更 安全 。NTFS 是 随 着 Windows NT 制造 出 来 的 , 并 且 已 经 被 增加 到 Windows 
的 更 新 的 版 本 中 。NTFS 能 够 在 多 用 户 环境 中 为 文件 和 文件 夹 提供 更 多 的 保护 。 

NTEFS 安全 的 核心 是 访问 控制 列表 (ACL)。 每 个 文件 或 文件 夹 客体 实际 上 有 两 个 相 
应 的 ACLs， 为 了 简便 ， 只 考虑 有 一 个 的 情况 。 在 Windows NT、Windows 2000 以 及 
Windows XP 中 ， 每 一 个 文件 或 文件 夹 客体 有 6 种 相应 的 权限 。 表 15-4 列 出 了 NTFS 在 
Windows NT/2000/XP 中 存在 的 基本 权限 。 
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表 15-4 NTFS 的 基本 权限 

权限 名 称 对 文件 的 权限 对 文件 夹 的 权限 
读 (R) 读 取 文 件 内 容 读 取 文件 夹 内 容 
写 (W) 修改 文件 内 容 修改 文件 夹 内 容 
执行 (X) 执行 程序 文件 Traverse a folder or subfolder 
删除 (D) 删除 文件 删除 文件 夹 
更 改 权限 〈P) 更 改 文 件 的 权限 设置 更 改 文件 夹 的 权限 设置 
获得 所 有 权 〈O) 取消 文件 所 有 权 取消 文件 所 有 权 


Windows 2000 和 更 新 的 Windows 操作 系统 版 本 使 得 管理 员 对 文件 和 文件 夹 有 更 多 
的 控制 , 用 户 可 以 获得 13 种 不 同 的 权限 类 型 。 每 一 个 权限 设置 都 被 保存 在 一 个 访问 控制 
目录 (ACE) 中。 对 被 授权 访问 文件 或 文件 夹 的 用 户 或 用 户 组 ， 都 有 一 个 单独 的 ACE。 
事实 上 ， 一 个 客体 可 能 有 几 个 包含 着 权限 信息 的 用 户 或 用 户 组 ACE。 当 一 个 用 户 请 求 访 
问 文件 或 文件 夹 客体 的 时 候 , 用 户 ID 和 组 关系 就 会 和 被 请 求 客体 ACE 中 的 信息 做 比较 。 
根据 存储 在 ACE 中 的 信息 ， 操 作 系统 授权 或 撤销 对 客体 的 访问 请 求 。NTFS 使 得 管理 员 
可 以 为 系统 中 的 每 一 个 文件 和 文件 夹 提供 非常 明确 的 访问 规则 。 


2. Windows 共享 安全 


Windows 操作 系统 支持 文件 夹 和 打印 机 的 共享 或 远程 使 用 。 为 了 实现 这 个 目标 ， 在 
系统 设置 中 , 文件 夹 共享 和 打印 机 共享 必须 是 打开 的 (Windows 95、Windows 98、Windows 
NT、Windows 2000、Windows XP 中 文件 共享 和 打印 机 共享 的 开放 是 默认 的 )。 对 每 一 个 
共享 ， 用 户 可 以 自己 明确 不 同 的 安全 水 平 ， 即 全 局 水 平 、 共 享 水 平 以 及 用 户 水 平 。 全 局 
水 平 意味 着 每 一 个 人 都 能 够 访问 共享 ， 共 享 水 平 意味 着 用 户 必 须 输入 一 个 口令 才能 获得 
共享 ， 用 户 水 平 意味 着 限制 着 某 些 用 户 的 访问 。 当 使 用 用 户 水 平 的 安全 设置 时 ， 用 户 为 
每 一 个 用 户 和 文件 建立 访问 控制 列表 来 存储 访问 权限 。 记 住 ， 一 旦 共享 了 一 个 打印 机 或 
文件 夹 ， 这 个 打印 机 或 文件 夹 就 能 够 被 远程 用 户 所 访问 ， 这 具有 一 定 的 风险 。 


3. UNIX 文件 系统 安全 


UNIX 文件 系统 使 用 的 权限 架构 在 某 些 方面 很 像 NTFS。 事实 上 , 应 该 说 NTFS 的 方 
法 在 某 些 方面 很 像 UNIX 的 权限 设置 ， 因 为 UNIX 比 Windows 早产 生 很 多 年 。 之 前 已 经 
介绍 了 文件 模式 设置 。UNIX 系统 中 ， 每 一 个 文件 的 权限 包括 读 、 写 和 执行 。 对 于 文件 
的 所 有 者 、 组 成 员 以 及 其 他 人 有 着 不 同 的 权限 设置 。 这 种 方法 似乎 有 些 灵活 ， 但 是 并 不 
支持 NTFS 模式 的 权限 继承 。 

在 UNIX 中 ， 系 统 的 所 有 权限 都 是 明确 的 。 远 程 用 户 必 须 出 示 身 份 证 书 才 能 获得 对 
资源 的 访问 权限 。 这 点 同 Windows 网 络 中 经 常 应 用 的 域 (domain) 的 概念 是 不 同 的 。 尽 
管 在 UNIX 系统 中 ， 基 于 文件 的 权限 是 本 地 (native) 的 ， 对 UNIX 文件 系统 安全 模式 进 
行 扩展 并 且 应 用 更 加 成 熟 的 安全 模式 还 是 有 可 能 的 。 但 在 试图 使 用 另 一 层 软件 来 加 固 文 
件 系统 的 时 候 ， 需 要 花 一 些 时 间 来 真正 理解 UNIX 系统 的 安全 ， 而 这 些 时 间 是 很 值得 花 
费 的 。 
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155 操作 系统 用 户 管理 安全 


对 于 大 多 数 的 现代 操作 系统 ， 最 主要 的 访问 请 求 是 通过 用 户 账 户 来 完成 的 。 一 个 潜 
在 的 用 户 会 出 示 证 书 取得 目标 系统 的 识别 和 认证 。 一 旦 认证 成 功 ， 根 据 存 储 在 用 户 账户 
数据 中 的 规则 ， 就 会 授 给 用 户 一 定 的 访问 权限 。 这 些 规则 的 性 质 和 形式 可 能 非常 广泛 ， 
但 概念 是 相同 的 。 用 户 登 录 进 入 系统 ， 然 后 被 授予 一 定 的 权利 。 

在 任何 一 个 操作 系统 中 ， 和 用 户 账户 相关 的 最 常见 的 漏洞 就 是 弱 口 令 。 尽 管 之 前 也 
提 到 过 这 个 问题 ， 但 还 需要 重复 一 下 : 一 定 不 要 使 用 弱 口 令 ! 建立 一 个 强 口令 政策 ， 然 
后 执行 。 必 须 不 断 教育 和 提醒 用 户 ， 使 他 们 意识 到 自己 对 系统 安全 的 义务 。 要 向 系统 的 
用 户 解 释 一 个 好 的 口令 规则 是 多 么 的 重要 。 运 行 了 强 口令 之 后 ， 要 运行 一 个 口令 破解 程 
序 来 检查 口令 的 强度 。 有 很 多 口令 是 可 以 被 猜 到 的 ， 其 数量 往往 多 得 令 人 惊奇 。 

因此 ， 一 个 强 口令 是 什么 样 的 呢 ? 要 如 何 指导 系统 的 用 户 运 用 强 口令 呢 ? 这 里 是 一 
些 简单 的 规则 ;口令 要 难于 被 猜测 ， 不 要 使 用 个 人 信息 ， 不 要 重复 口令 ， 不 要 把 口令 写 
下 来 ， 定 期 对 口令 进行 更 新 ， 使 用 大 小 写字 母 、 数 字 、 和 标点 符号 来 构造 口令 。 

了 解 了 创建 口令 的 方法 ， 来 看 看 一 些 Windows 和 UNIX 系统 的 账户 安全 策略 。 


@-- 15.5.1 Windows 账户 安全 策略 、 

尽管 可 以 在 Windows 中 创建 本 地 用 户 ， 但 最 常见 的 安全 策略 是 在 域 层 次 创建 用 户 。 
如 果 正 在 运行 Windows NT、Windows 2000， 或 其 他 更 新 的 Windows 操作 系统 版 本 ， 域 
控制 器 安全 模式 使 得 安全 权限 更 集中 。 作 为 一 个 用 户 ， 可 以 登录 到 域 中 的 任何 一 台 计 算 
机 ， 并 且 保 持 自己 的 访问 权限 。 定 义 一 个 用 户 的 过 程 是 简单 的 ， 只 需要 在 域 控制 器 计算 
机 上 添加 一 个 用 户 。 只 有 拥有 管理 员 权 限 才能 创建 用 户 。 一 旦 已 经 创建 了 一 个 或 多 个 用 
户 ， 可 以 创建 安全 用 户 组 , 并 且 可 以 把 用 户 放 在 一 个 或 多 个 组 中 。 通 过 工作 组 分 配 权限 ， 
可 以 使 权限 管理 过 程 变 得 简单 。 比 起 给 6 个 或 60 个 个 人 用 户 分 配对 数据 库 文件 夹 的 写 权 
限 ， 给 DBA 这 个 组 分 配 同样 的 权限 要 简单 得 多 。 在 开始 运行 用 户 账户 之 前 要 做 一 个 用 
户 账户 的 安全 计划 。 在 长 时 间 的 运行 中 ， 提 前 考虑 所 请 求 的 用 户 、 工 作 组 及 用 户 和 工作 
组 的 权限 会 节省 很 多 的 时 间 。 


Tt 


@ - 15.5.2 ”UNIX 账户 安全 策略 -， 

和 Windows 系统 一 样 ， 在 UNIX 中 有 两 种 类 型 的 账户 一 一 用 户 和 用 户 组 。 对 于 每 一 
种 版 本 的 UNIX， 账 户 的 管理 会 有 一 些 不 同 ， 但 是 基础 是 一 致 的 。 创 建 一 个 用 户 的 时 候 ， 
通常 把 这 个 用 户 归 属于 默认 组 。 当 然 ， 也 可 以 把 这 个 用 户 加 到 附加 组 中 。 当 用 户 请 求 访 
问 文件 时 ， 需 要 对 文件 的 权限 进行 检查 来 确定 用 户 的 ID 和 工作 组 ID 是 否 允 许 访问 。 


15.0 操作 系统 日 志 功 能 


当 文件 发 生 改 变 的 时 候 ， 除 了 创建 和 比较 检验 和 的 值 ， 管 理 员 还 需要 监视 系统 的 使 
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用 和 资源 的 访问 情况 。 这 些 是 由 系统 日 志 来 完成 的 。 目 前 的 操作 系统 记录 了 很 多 事件 用 
于 之 后 的 检测 。 系 统 日 志 是 侦查 和 判断 可 疑 行为 的 主要 数据 来 源 。 但 值得 注意 的 是 ， 尽 
管 日 志 提 供 了 丰富 的 信息 , 同样 也 需要 大 量 的 系统 资源 , 需要 耗费 大 量 CPU 时 间 来 记录 
这 些 日 志 ， 需 要 更 多 的 磁盘 空间 来 存储 日 志文 件 。 还 需要 一 定 的 人 力 物力 来 管理 和 检查 
所 有 这 些 日 志文 件 。 

一 个 行 之 有 效 的 日 志 记 录 方 式 是 根据 安全 策略 记录 记录 相应 的 安全 事件 。 系 统 事件 
分 为 很 多 类 。 用 户 可 以 记录 登录 尝试 、 授 权 变更 、 资 源 访问 、 打 印 工作 、 性 能 指标 等 事 
件 。 可 以 使 用 这 些 日 志 来 检查 系统 问题 和 可 疑 行为 。 日 志 提 供 的 信息 能 够 使 用 户 追 踪 到 
某 些 人 对 系统 做 过 的 具体 行为 。 

和 其 他 的 安全 手段 一 样 ， 设 置 合适 的 日 志 需 要 对 自己 的 操作 系统 有 着 很 好 的 了 解 。 
当 系 统 具有 更 高 的 安全 需求 时 ， 它 应 该 记录 更 多 的 安全 事件 。 一 个 存在 更 多 风险 的 系统 
应 该 记录 更 多 的 事件 日 志 记录 需求 和 系统 功能 之 问 的 平衡 决定 着 哪些 事件 需要 被 记录 。 


习 题 


项 是 不 能 关闭 的 ? 《 ) 


一 、 选 择 题 A，Intemet 信息 服务 
B. 远程 登录 
1， 注 册 表 中 ， 阻 止 访问 特定 驱动 器 内 容 的 C ee 


键 值 是 下 列 哪 一 项 ? ( 
A. NoViewOnDrive 
B. RestrictRun 二 、 问 答题 


Co Tey 1. 简 述 安全 操作 系统 必要 的 组 成 部 分 。 


D. 注册 表 访 问 


D. Noclose 2、 简 述 安全 检查 列表 的 重要 性 。 
2 以 下 Windows 用 户 系统 常见 服务 中 ， 哪 3。 思考 如 何 实现 基本 的 文件 系统 安全 。 
‘7” 
课 后 实践 与 思考 


Windows 主机 操作 系统 加 固 规范 实例 
一 、 账 号 管理 、 认 证 授权 


1. 账号 
SHG-Windows-01-01-01 


编号 SHG-Windows-01-01-01 

名 称 按照 用 户 类 型 分 配 账号 

实施 目的 根据 系统 的 要 求 ， 设 定 不 同 的 账户 和 账户 组 、 管 理 员 用 户 、 数 据 库 用 户 、 审 计 
用 户 、 来 宾 用 户 等 

问题 影响 账号 混淆 ， 权 限 不 明确 ， 存 在 用 户 越权 使 用 的 可 能 


系统 当前 状态 进入 “控制 面板 ”一 “管理 工具 ”一 “计算 机 管理 ”， 在 “系统 工具 ”一 “本 地 
用 户 和 组 ”中 记录 当前 用 户 状态 
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续 表 

编号 SHG-Windows-01-01-01 

实施 步骤 参考 配置 操作 : 
进入 “控制 面板 ”一 “管理 工具 ”一 “计算 机 管理 ”在 “系统 工具 ”一 “本 地 
用 户 和 组 ”中 结合 要 求 和 实际 业务 情况 判断 符合 要 求 ， 根 据 系统 的 要 求 ， 设 定 
不 同 的 账户 和 账户 组 、 管 理 员 用 户 、 数 据 库 用 户 、 审 计 用 户 、 来 宾 用 户 

可 退 方案 删除 新 增加 的 用 户 ， 还 原 用 户 权限 到 初始 设置 。 部 分 操作 可 能 无 法 回 退 

判断 依据 进入 “控制 面板 ”一 “管理 工具 ”一 “计算 机 管理 ”， 在 “系统 工具 -> 本 地 用 户 
和 组 ”中 查看 账户 和 账户 组 、 管 理 员 用 户 、 数 据 库 用 户 、 审 计 用 户 、 来 宾 用 户 
等 。 根 据 系统 的 要 求 和 实际 业务 情况 判断 是 否 符合 要 求 

实施 风险 高 

重要 等 级 友 友 友 

备注 


SHG-Windows-01-01-02 


编号 

名 称 

实施 目的 
问题 影响 
系统 当前 状态 


实施 步骤 


回 退 方案 


判断 依据 


SHG-Windows-01-01-02 


系统 无 效 账 户 清理 

删除 或 锁定 与 设备 运行 、 维 护 等 与 工作 无 关 的 账号 ， 提 高 系统 账户 安全 

如 果 不 清理 无 效 账户 ， 则 系统 将 面临 默认 帐号 被 非法 利用 的 风险 

进入 “控制 面板 ”一 “管理 工具 ”一 “计算 机 管理 ”在 “系统 工具 ”一 “本 地 
用 户 和 组 ”中 记录 当前 用 户 状态 ， 备 份 系统 SAM 文件 

参考 配置 操作 : 

进入 “控制 面板 ”一 “管理 工具 ”一 “计算 机 管理 "在 “系统 工具 ”一 “本 地 
用 户 和 组 ”中 删除 或 锁定 与 设备 运行 、 维 护 等 与 工作 无关 的 账号 

增加 被 出 除 的 用 户 ， 激 活 被 锁定 的 用 户 ， 还 原 用 户 权限 到 初始 设置 。 部 分 操作 
可 能 无 法 回 退 

进入 “控制 面板 ”一 “管理 工具 ”一 “计算 机 管理 "在 “系统 工具 ”一 “本 地 
用 户 和 组 ”中 查看 是 否 删 除 或 锁定 与 设备 运行 、 维 护 等 与 工作 无 关 的 账号 
根据 系统 的 要 求 和 实际 业务 情况 判断 是 否 符合 要 求 

友 友 友 


SHG-Windows-01-01-03 


编号 
名 称 
实施 目的 


问题 影响 
系统 当前 状态 


实施 步骤 


SHG-Windows-01-01-03 


J 名称 重合 名 Administrator, 禁 用 Guest 


对 于 管理 员 账 号 ， 要 求 更 改 默认 账户 名 称 ; 禁用 Guest (来 宾 ) 账号 。 提 高 系 
统 安全 性 

管理 员 账 号 容易 被 猜 解 ; Guest 账号 容易 被 非法 利用 

进入 “控制 面板 ”一 “管理 工具 ”一 “计算 机 管理 ”在 “系统 工具 ”一 “本 
地 用 户 和 组 ”中 记录 当前 用 户 状态 
参考 配置 操作 : 

进入 “控制 面板 ”一 “管理 工具 ”一 “计算 机 管理 ” 在 “系统 工具 ”一 “本 
地 用 户 和 组 ”中 执行 以 下 操作 。 

Administrator 一 属性 一 更 改名 称 

Guest 账号 一 属性 一 已 停 用 


操作 系统 加 固 
续 表 
编号 SHG-Windows-01-01-03 
回 退 方案 重 命 名 用 户 名 称 ， 还 原 用 户 属性 设置 
判断 依据 进入 “控制 面板 ”一 “管理 工具 ”一 “计算 机 管理 ” 在 “系统 工具 ”一 “本 
地 用 户 和 组 ”中 
查看 管理 员 账 号 Administrator 名 称 是 否 修改 ，Guest 账号 是 否 禁 用 。 
实施 风险 低 
重要 等 级 太 
备注 
2. 口令 
SHG-Windows-01-02-01 
编号 SHG-Windows-01-02-01 
名 称 配置 密码 策略 
实施 目的 设置 密码 策略 ， 减 少 密码 安全 风险 ; 防止 系统 弱 口令 的 存在 ， 减 少 安全 隐患 。 对 


于 采用 静态 口令 认证 技术 的 设备 ， 口 令 长 度 至 少 6 位 ， 且 密码 规则 至 少 应 采用 字 
母 〈 大 小 写 穿插 ) 加 数字 加 标点 符号 〈 包 括 通配符 ) 的 方式 

问题 影响 增加 系统 密码 被 暴力 破解 的 成 功率 

系统 当前 状态 。 进入 “控制 面板 ”一 “管理 工具 ”一 “本 地 安全 策略 ”， 在 “账户 策略 ”一 “密码 
策略 ”: 记录 当前 密码 策略 情况 

实施 步骤 参考 配置 操作 : 
进入 “控制 面板 ”一 “管理 工具 ”一 “本 地 安全 策略 ”， 在 “账户 策略 ”一 “密码 
策略 ”中 ,“ 密 码 必须 符合 复杂 性 要 求 ”选择 “已 启动 ”设置 如 下 策略 。 


策略 默认 设置 推荐 最 低 设置 
强制 执行 密码 历史 记录 记 住 1 个 密码 记 住 5 个 密码 
密码 最 长 期 限 42 天 90 天 
密码 最 短期 限 0 天 2 天 
最 短 密码 长 度 0 个 字符 8 个 字符 
密码 必须 符合 复杂 性 要 求 禁用 启用 
为 域 中 所 有 用 户 使 用 可 还 原 的 加 ”禁用 禁用 
密 来 储存 密码 
回 退 方案 还 原 密 但 策略 到 加 固 之 前 配置 
判断 依据 进入 “控制 面板 ”一 “管理 工具 ”一 “本 地 安全 策略 ”， 在 “账户 策略 ”一 “密码 


策略 ”中 查看 “密码 必须 符合 复杂 性 要 求 ”是 否 选择 “已 启动 ” 
实施 风险 低 
重要 等 级 女友 女 
备注 
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SHG-Windows-01-02-02 


编号 SHG-Windows-01-02-02 

名 称 配置 账户 锁定 策略 

实施 目的 设置 有 效 的 账户 锁定 策略 有 助 于 防止 攻击 者 猜 出 系统 账户 的 密码 

问题 影响 增加 系统 密码 被 暴力 破解 的 成 功率 

系统 当前 状态 进入 “控制 面板 ”一 “管理 工具 ”一 “本 地 安全 策略 ”， 在 “账户 策略 ”一 “ 账 
户 锁定 策略 ”中 记录 当前 账户 锁定 策略 情况 

实施 步骤 参考 配置 操作 


进入 “控制 面板 ”一 “管理 工具 ”一 “本 地 安全 策略 ”在 “账户 策略 ”一 “ 账 
户 锁定 策略 ”中 设置 如 下 策略 


策略 默认 设置 推荐 最 低 设置 
账户 锁定 时 间 未 定义 30 分 钟 
账户 锁定 阔 值 0 6 次 无 效 登录 
复位 账户 锁定 计数 器 未 定义 30 分 钟 
回 退 方案 还 原 账户 锁定 策略 到 加 固 之 前 配置 
判断 依据 进入 “控制 面板 ”一 “管理 工具 ”一 “本 地 安全 策略 ”， 在 “账户 策略 ”一 “ 账 


户 锁定 策略 ”中 查看 安全 策略 是 否 设置 为 已 启动 和 按 要 求 配置 
实施 风险 低 


重要 等 级 六 次 六 
备注 
(3) 授权 
SHG-Windows-01-03-01 
编号 SHG-Windows-01-03-01 
名 称 远 端 系统 强制 关机 设置 
实施 目的 防止 远程 用 户 非法 关机 ， 在 本 地 安全 设置 中 从 远 端 系统 强制 关机 只 指派 给 
Administrators 组 
问题 影响 增加 系统 被 管理 员 以 外 的 用 户 非法 关闭 的 风险 
系统 当前 状态 进入 “控制 面板 ”一 “管理 工具 ”一 “本 地 安全 策略 ”， 在 “本 地 策略 ”一 “用 
户 权利 指派 ”中 查看 并 记录 “从 远 端 系统 强制 关机 ”的 当前 设置 
实施 步骤 参考 配置 操作 : 


进入 “控制 面板 ”一 “管理 工具 ”一 “本 地 安全 策略 ”， 在 “本 地 策略 ”一 “用 
户 权 利 指派 ”中 将 “从 远 端 系统 强制 关机 ”设置 为 “只 指派 给 Administrators 组 ” 


回 退 方案 还 原 “ 从 远 端 系 统 强制 关机 ”的 设置 到 加 固 之 前 配置 

判断 依据 进入 “控制 面板 ”一 “管理 工具 ”一 “本 地 安全 策略 ”， 在 “本 地 策略 ”一 “用 
户 权 利 指 派 ” 中 查看 “从 远 端 系统 强制 关机 ”是 否 设置 为 “只 指派 给 
Administrators 组 ” 


实施 风险 低 
重要 等 级 六 六 六 
FE 


操作 系统 加 固 
SHG-Windows-01-03-02 

编号 SHG-Windows-01-03-02 

名 称 关闭 系统 设置 

实施 目的 防止 管理 员 以 外 的 用 户 非法 关机 ， 在 本 地 安全 设置 中 关闭 系统 仅 指派 给 
Administrators 组 

问题 影响 增加 系统 被 管理 员 以 外 的 用 户 非法 关闭 的 风险 

系统 当前 状态 进入 “控制 面板 ”一 “管理 工具 ”一 “本 地 安全 策略 ”在 “本 地 策略 ”一 “用 
户 权 利 指派 ”中 查看 并 记录 “关闭 系统 ”的 当前 设置 

实施 步骤 参考 配置 操作 : 


进入 “控制 面板 ”一 “管理 工具 ”一 “本 地 安全 策略 ”在 “本 地 策略 ”一 “用 
户 权利 指派 ”中 将 “关闭 系统 ”设置 为 “只 指派 给 Administrators 组 ” 


回 退 方案 还 原 “关闭 系统 ”的 设置 到 加 固 之 前 配置 

判断 依据 进入 “控制 面板 ”一 “管理 工具 ”一 “本 地 安全 策略 ”在 “本 地 策略 ”一 “用 
户 权 利 指派 ”中 查看 “关闭 系统 ”是 否 设 置 为 “只 指派 给 Administrators 组 ” 

实施 风险 低 

重要 等 级 妇女 友 

备注 


SHG-Windows-01-03-03 


编号 SHG-Windows-01-03-03 

名 称 “取得 文件 或 其 他 对 象 的 所 有 权 ” 设 置 

实施 目的 防止 用 户 非法 获取 文件 ， 在 本 地 安全 设置 中 取得 文件 或 其 他 对 象 的 所 有 权 仅 
指派 给 Administrators 

问题 影响 增加 系统 除 管理 员 以 外 的 用 户 非法 获取 文件 的 风险 

系统 当前 状态 进入 “控制 面板 ”一 “管理 工具 ”一 “本 地 安全 策略 ”， 在 “本 地 策略 ”一 “用 
户 权利 指派 ”中 查看 并 记录 “取得 文件 或 其 他 对 象 的 所 有 权 ” 的 当前 设置 

实施 步骤 参考 配置 操作 : 


进入 “控制 面板 ”一 “管理 工具 ”一 “本 地 安全 策略 ”， 在 “本 地 策略 ”一 “用 
户 权利 指派 ”中 将 “取得 文件 或 其 他 对 象 的 所 有 权 ” 设 置 为 “只 指派 给 
Administrators 组 ” 


可 退 方 案 还 原 “ 取 得 文件 或 其 他 对 象 的 所 有 权 ” 的 设置 到 加 固 之 前 配置 

判断 依据 进入 “控制 面板 ”一 “管理 工具 ”一 “本 地 安全 策略 ” 在 “本 地 策略 ”一 “用 
户 权利 指派 ”中 查看 是 和 否 “取得 文件 或 其 他 对 象 的 所 有 权 ” 设 置 为 “只 指派 
给 Administrators 组 ” 

实施 风险 低 

重要 等 级 六 六 六 

备注 


SHG-Windows-01-03-04 


编号 SHG-Windows-01-03-04 
名 称 “从 本 地 登录 此 计算 机 ”设置 
实施 目的 防止 用 户 非法 登录 主机 ， 在 本 地 安全 设置 中 配置 指定 授权 用 户 允 许 本 地 登录 


此 计算 机 
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续 表 
编号 SHG-Windows-01-03-04 
问题 影响 增加 物理 临近 攻击 和 本 地 物理 攻击 以 及 非 授 权 用 户 非法 登录 主机 的 风险 
系统 当前 状态 进入 “控制 面板 ”一 “管理 工具 ”一 “本 地 安全 策略 ”， 在 “本 地 策略 ”一 “用 
户 权 利 指派 ”中 查看 并 记录 “从 本 地 登录 此 计算 机 ”的 当前 设置 
实施 步骤 参考 配置 操作 : 
进入 “控制 面板 ”一 “管理 工具 ”一 “本 地 安全 策略 ”在 “本 地 策略 ”一 “用 
户 权利 指派 ”中 将 “从 本 地 登陆 此 计算 机 ”设置 为 “指定 授权 用 户 ” 
回 退 方案 还 原 “ 从 本 地 登录 此 计算 机 ”的 设置 到 加 固 之 前 配置 
判断 依据 进入 “控制 面板 ”一 “管理 工具 ”一 “本 地 安全 策略 ” 在 “本 地 策略 ”一 “用 
户 权利 指派 ”中 查看 是 否 “ 从 本 地 登录 此 计算 机 ”设置 为 “指定 授权 用 户 ” 
实施 风险 低 
重要 等 级 交 妆 交 
备注 


SHG-Windows-01-03-05 


编号 SHG-Windows-01-03-05 

名 称 “从 网 络 访问 此 计算 机 ”设置 

实施 目的 防止 网 络 用 户 非法 访问 主机 , 在 组 策略 中 只 允许 授权 账号 从 网 络 访问 (包括 网 络 
共享 等 ， 但 不 包括 终端 服务 ) 此 计算 机 

问题 影响 增加 非 授权 用 户 非法 访问 主机 的 风险 

系统 当前 状态 进入 “控制 面板 ”一 “管理 工具 ”一 “本 地 安全 策略 ” 在 “本 地 策略 ”一 “用 
户 权 利 指派 ”中 查看 并 记录 “从 网 络 访问 此 计算 机 ”的 当前 设置 

实施 步骤 参考 配置 操作 : 
进入 “控制 面板 ”一 “管理 工具 ”一 “本 地 安全 策略 ”， 在 “本 地 策略 ”一 “用 
户 权 利 指派 ”中 将 “从 网 络 访问 此 计算 机 ”设置 为 “指定 授权 用 户 ” 

回 退 方案 还 原 “ 从 网 络 访问 此 计算 机 ”的 设置 到 加 固 之 前 配置 

判断 依据 进入 “控制 面板 ”一 “管理 工具 ”一 “本 地 安全 策略 ”在 “本 地 策略 ”一 “用 
户 权利 指派 ”中 查看 是 否 “ 从 网 络 访问 此 计算 机 ”设置 为 “指定 授权 用 户 ” 

实施 风险 低 

重要 等 级 次 太 六 

备注 

二 、 日志 配置 
SHG-Windows-02-01-01 

编号 SHG-Windows-02-01-01 

名 称 审核 策略 设置 

实施 目的 设置 审核 策略 ， 记 录 系 统 重要 的 事件 日 志 ， 设 备 应 配置 日 志 功能 ， 对 用 户 登 

录 进 行 记 录 ， 记 录 内 容 包括 用 户 登录 使 用 的 账号 ， 登 录 是 否 成 功 ， 登 录 时 间 ， 
以 及 远程 登录 时 ， 用 户 使 用 的 下 地 址 
问题 影响 无 法 对 用 户 的 登录 以 及 登录 后 对 系统 的 操作 过 程 、 特 权 使 用 等 进行 日 志 记 录 
系统 当前 状态 进入 “控制 面板 ”一 “管理 工具 ”一 “本 地 安全 策略 ” 查看 并 记录 “审核 策 


略 ”的 当前 设置 


操作 系统 加 固 


续 表 


编号 


SHG-Windows-02-01-01 


实施 步骤 


回 退 方案 
判断 依据 


实施 风险 
重要 等 级 
备注 


参考 配置 操作 : 

“开始 ”一 “运行 ”一 “执行 “控制 面板 ”一 “管理 工具 ”一 “本 地 安全 策略 ”一 “ 审 
核 策略 ” 

审核 登录 事件 ， 双 击 ， 设 置 为 成 功 和 失败 都 审核 。 

“审核 策略 更 改 ” 设 置 为 “成 功 ” 和 “失败 ”都 要 审核 

“审核 对 象 访问 ”设置 为 “成 功 ” 和 “失败 ”都 要 审核 

“审核 目录 服务 器 访问 ”设置 为 “成 功 ” 和 “失败 ”都 要 审核 

“审核 特权 使 用 ”设置 为 “成 功 ” 和 “失败 ”都 要 审核 

“审核 系统 事件 ”设置 为 “成 功 ” 和 “失败 ”都 要 审核 

“审核 账户 管理 ”设置 为 “成 功 ” 和 “失败 ”都 要 审核 

“审核 过 程 追踪 ”设置 为 “失败 ”需要 审核 

还 原 “ 审 核 策 略 ”的 设置 到 加 固 之 前 配置 

“开始 ”一 “运行 ”一 “执行 ”““ 控 制 面 板 ” 一 “管理 工具 ”一 “本 地 安全 策略 ”一 
“审核 策略 ”: 

查看 是 否 设置 为 成 功 和 失败 都 审核 

低 

六 六 六 


SHG-Windows-02-01-02 


编号 
名 称 
实施 目的 


SHG-Windows-02-01-02 


问题 影响 


系统 当前 状态 


实施 步 又 


日 志 记录 策略 设置 

优化 系统 日 志 记录 ， 防 止 日 志 溢出 。 设 置 应 用 日 志文 件 大 小 至 少 为 8192KB， 设 置 
当 达 到 最 大 的 日 志 尺 寸 时 ， 按 需要 改写 事件 

全 全 
日 志 、 应 用 日 志 、 安 全 日 志 

进入 “控制 面板 ”一 “管理 工具 ， 一 “事件 查看 器 ” 查看 并 记录 “应 用 日 志 ”“ 系 
统 日 志 ”、“ 安 全 日 志 ” 的 当前 设置 

参考 配置 操作 : 

进入 “控制 面板 ”一 “管理 工具 ”一 “事件 查看 器 "， 在 “事件 查看 器 (本地)” 中 : 
“应 用 日 志 ” 属 性 中 的 日 志 大 小 设置 不 小 于 “8192KB” 设置 当 达 到 最 大 的 日 志 尺 十 
时 ,“ 按 需要 改写 事件 ” 

“系统 日 志 ” 属 性 中 的 日 志 大 小 设置 不 小 于 “8192KB” 设置 当 达 到 最 大 的 日 志 尺 十 
时 ,“ 按 需要 改写 事件 ” 

“安全 日 志 ” 属 性 中 的 日 志 大 小 设置 不 小 于 “8192KB”， 设 置 当 达到 最 大 的 日 志 尺寸 
时 ,“ 按 需要 改写 事件 ” 

还 原 “ 应 用 日 志和 “系统 日 志 ”“ 安 全 日 志 ” 的 设置 到 加 固 之 前 配置 

进入 “控制 面板 ”一 “管理 工具 ”一 “事件 查看 器 ”， 在 “事件 查看 器 (本 地 )” 中 : 
查看 各 项 日 志 属 性 中 日 志 大 小 是 否 设 置 为 不 小 于 “8192KB”， 是 否 设置 当 达 到 最 大 
的 日 志 尺 寸 时 ,“ 按 需要 改写 事件 ” 

低 
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三 、 通 信 协 议 
四 协议 安全 


SHG-Windows-03-01-01 


编号 
名 称 
实施 目的 


回 退 方案 
判断 依据 


实施 风险 
重要 等 级 
备注 


SHG-Windows-03-01-01 

启用 TCP/IP 簿 选 

过 滤 不 必要 的 端口 ， 提 高 系统 安全 性 ， 对 没有 自 带 防火 墙 的 Windows 系统 ， 
启用 Windows 系统 的 他 安全 机 制 (IPSec) 或 网 络 连接 上 的 TCP/IP 筛选 ， 只 
开放 业务 所 需要 的 TCP、UDP 端口 和 下 协议 

如 不 有 效 过 滤 系 统 中 存在 的 不 必要 的 端口 以 及 默认 的 端口 会 增加 潜在 被 攻击 
和 非法 利用 的 安全 风险 

进入 “控制 面板 ” 一“ 网络 连接 ”一 “本 地 连接 ”进入 “Internet 协议 (TCP/IP) 
属性 ”一 “高 级 TCP/IP 设置 ” 在 “选项 ”的 属性 中 查看 “网 络 连接 上 的 TCP/IP 
筛选 ”的 状态 ， 并 记录 

参考 配置 操作 : 

系统 管理 员 出 示 业 务 所 需 端 口 列表 。 

根据 列表 只 开放 系统 与 业务 所 需 端口 。 

进入 “控制 面板 ”一 “网 络 连接 ”一 “本 地 连接 ”进入 “Internet 协议 (TCP/IP) 
属性 ”一 “高 级 TCP/IP 设置 ” 在 “选项 ”的 属性 中 启用 网 络 连接 上 的 TCP/IP 
筛选 ， 只 开放 业务 所 需要 的 TCP、UDP 端口 和 了 王 协 议 

还 原 高 级 TCP/IP 的 设置 到 加 固 之 前 配置 

系统 管理 员 出 示 业 务 所 需 端 口 列表 。 

根据 列表 只 开放 系统 与 业务 所 需 端口 。 

进入 “控制 面板 ”一 “网 络 连接 ”一 “本 地 连接 ”进入 “Internet 协议 (TCP/IP) 
属性 ”一 “高 级 TCP/IP 设置 ” 在 “选项 ”的 属性 中 启用 网 络 连接 上 的 TCP/IP 
筛选 ， 查 看 是 否 只 开放 业务 所 需要 的 TCP、UDP 端口 和 下 协议 。 

利用 Netstat-an 命令 查看 当前 系统 开放 端口 是 否 与 系统 管理 员 所 出 示 的 业务 
所 需 端 口 列 表 相 对 应 ;如 发 现存 在 与 业务 和 应 用 无 关 的 端口 ， 则 查 明 后 在 
TPC/IP 筛选 配置 中 将 其 过 滤 掉 

高 

太 


SHG-Windows-03-01-02 


编号 

名 称 

实施 目的 
问题 影响 
系统 当前 状态 


SHG-Windows-03-01-01 


开启 系统 防火 墙 

启用 Windows XP 和 Windows 2003 自 带 防火 墙 ， 过 滤 不 必要 的 端口 ， 提 高 系 
统 安全 性 。 根 据 业 务 需 要 限定 允许 访问 网 络 的 应 用 程序 和 人 允许 远程 登陆 该 设 
备 的 卫 地 址 范围 

没有 访问 控制 ， 系 统 可 能 被 非法 登录 或 使 用 ， 从 而 增加 潜在 被 攻击 的 安全 
风险 

进入 “控制 面板 ”一 “网 络 连接 ”一 “本 地 连接 ”， 在 高 级 选项 的 属性 中 查看 
Windows 防火 墙 的 状态 ， 并 记录 详细 情况 


1S 
操作 系统 加 国 章 
续 表 
编号 SHG-Windows-03-01-01 
实施 步骤 参考 配置 操作 : 
系统 管理 员 出 示 业 务 所 需 端口 列表 。 
根据 列表 只 开放 系统 与 业务 所 需 端口 。 
进入 “控制 面板 ”一 “网 络 连接 ”一 “本 地 连接 ” 在 高 级 选项 的 设置 中 启用 
Windows 防火 墙 。 
在 “例外 ”中 配置 允许 业务 所 需 的 程序 接 入 网 络 。 
在 “例外 ”一 “编辑 ”一 “更 改 范围 ”中 编辑 允许 接 入 的 网 络 地 址 范围 
回 退 方案 还 原 高 级 系统 防火 墙 设置 到 加 固 之 前 配置 。 
判断 依据 进入 “控制 面板 ”一 “网 络 连 接 ” 一 “本 地 连接 ”， 在 高 级 选项 的 设置 中 ， 查 
看 是 否 启用 Windows 防火 墙 。 
查看 是 否 在 “例外 ”中 配置 允许 业务 所 需 的 程序 接 入 网 络 。 
查看 是 否 在 “例外 ”一 “编辑 ”一 “更 改 范围 ”中 编辑 允许 接 入 的 网 络 地 址 
范围 
实施 风险 高 
备注 
SHG-Windows-03-01-03 301 
编号 SHG-Windows-03-01-03 
名 称 启用 SYN 攻击 保护 
实施 目的 启用 SYN 攻击 保护 ， 提 高 系统 安全 性 ; 指定 触发 SYN 洪水 攻击 保护 所 必须 超 
过 的 TCP 连接 请 求 数 阀 值 为 5; 指定 处 于 SYN_RCVD 状态 的 TCP 连接 数 的 
阅 值 为 500; 指定 处 于 至 少 已 发 送 一 次 重 传 的 SYN_RCVD 状态 中 的 TCP 连 
接 数 的 阔 值 为 400 
问题 影响 如 不 启用 SYN 攻击 保护 ， 系 统 则 容易 被 SYN 拒绝 服务 攻击 后 导致 迅速 宕 机 
系统 当前 状态 在 “开始 ”一 “运行 ”中 输入 regedit 
查看 并 记录 注册 表 HKEY_LOCAL MACHINE\SYSTEM\CurrentControlSet\Services、 
SynAttackProtect 的 值 并 记录 。 
查看 并 记录 注册 表 HKEY _ LOCAL MACHINE\SYSTEM\CurrentControlSet\ 
Services 之 下 
TcpMaxPortsExhausted 
TcpMaxHalfOpen 
TcpMaxHalfOpenRetried 
的 值 并 记录 
实施 步骤 参考 配置 操作 : 


在 “开始 ”一 “运行 ”中 输入 regedit 

启用 SYN 攻击 保护 的 命名 值 位 于 注册 表 项 HREY LOCAL MACHINE\SYSTEMN 
CurrentControlSet\Services 之 下 。 值 名 称 : SynAttackProtect。 推 荐 值 ，2。 
以 下 部 分 中 的 所 有 项 和 值 均 位 于 注册 表 项 HKEY_LOCAL MACHINE\SYSTEM\ 
CurrentControlSet\Services 之 下 。 

指定 必须 在 触发 SYN flood 保护 之 前 超过 的 TCP 连接 请 求 阔 值 。 值 名 称 : 
TcpMaxPortsExhausted。 推 荐 值 : 5。 
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续 表 


编号 SHG-Windows-03-01-03 

实施 步骤 启用 SynAttackProtect 后 ， 该 值 指定 SYN_RCVD 状态 中 的 TCP 连接 阔 值 ， 超 
过 SynAttackProtect 时 ， 触 发 SYN flood 保护 。 值 名 称 : TepMaxHalfopen。 推 
荐 值 数据 : 500。 
启用 SynAttackProtect 后 ， 指 定 至 少 发 送 了 一 次 重 传 的 SYN_RCVD 状态 中 的 
TCP 连接 阔 值 。 超 过 SynAttackProtect 时 ， 触 发 SYN flood 保护 。 值 名 称 : 
TcpMaxHalfOpenRetried。 推 荐 值 数据 : 400。 


回 退 方案 还 原 注册 表 设 置 到 加 固 之 前 配置 

判断 依据 在 “开始 ”一 “运行 ”中 输入 regedit， 进 入 注册 表 中 打开 相应 的 注册 项 ， 查 看 
键 值 是 否 已 启用 和 配置 ， 各 注册 表 键 值 是 否 均 按 要 求 设 置 

实施 风险 高 

重要 等 级 女 

备注 


四 、 设 备 其 他 安全 要 求 


1. 屏幕 保护 
SHG-Windows-04-01-01 


编号 SHG-Windows-04-01-01 

名 称 启用 屏幕 保护 程序 

实施 目的 启用 屏幕 保护 程序 ， 防 止 管理 员 忘记 锁定 机 器 被 非法 攻击 ， 设 置 带 密码 的 屏 
幕 保护 ， 并 将 时 间 设 定 为 5 分 钟 

问题 影响 如 未 启动 屏幕 保护 并 采用 密码 恢复 ， 一 旦 管理 员 操作 系统 后 忘记 锁定 主机 ， 
则 容易 被 非法 攻击 ， 以 及 增加 本 地 物理 临近 攻击 的 风险 

系统 当前 状态 进入 “控制 面板 ”一 “显示 ”一 “屏幕 保护 程序 ”: 
查看 是 否 启用 屏幕 保护 程序 并 记录 当前 的 设置 

实施 步骤 参考 配置 操作 : 


进入 “控制 面板 ”一 “显示 ”一 “屏幕 保护 程序 ”: 
启用 屏幕 保护 程序 ， 设 置 等 待 时 间 为 “5 分 钟 ” 启用 “在 恢复 时 使 用 密码 
保护 ” 
回 退 方案 还 原 屏幕 保护 程序 设置 到 加 固 之 前 配置 
判断 依据 进入 “控制 面板 ”一 “显示 ”一 “屏幕 保护 程序 ”: 
查看 是 否 启用 屏幕 保护 程序 ， 设 置 等 待 时 间 为 “5 分 钟 ” 启用 “在 恢复 时 使 
用 密码 保护 ” 
在 系统 桌面 上 右 击 ， 打 开 属性 ， 查 看 屏幕 保护 程序 选项 是 否 已 启动 和 配置 
实施 风险 低 
重要 等 级 妆 太 六 


SHG-Windows-04-01-02 


操作 系统 加 固 


编号 SHG-Windows-04-01-02 

名 称 设置 Microsoft 网 络 服务 器 挂 起 时 间 

实施 目的 设置 Microsoft 网 络 服务 器 挂 起 时 间 ， 防 止 管 理 员 忘 记 锁 定 机 器 被 非法 利用 ; 
对 于 远程 登录 的 账号 ， 设 置 不 活动 断 连 时 间 15 分 钟 

问题 影响 管理 员 忘 记 锁定 而 被 非法 利用 

系统 当前 状态 进入 “控制 面板 ”一 “管理 工具 ”一 “本 地 安全 策略 ” 在 “本 地 策略 -> 安全 
选项 ”中 查看 是 否 “Microsoft 网 络 服务 器 ”设置 为 “在 挂 起 会 话 之 前 所 需 的 
空闲 时 间 ” 为 15 分 钟 

实施 步骤 参考 配置 操作 : 
进入 “控制 面板 ”一 “管理 工具 ”一 “本 地 安全 策略 ”， 在 “本 地 策略 ”一 “ 安 
全 选项 ”中 将 “Microsoft 网 络 服务 器 ”设置 为 “在 挂 起 会 话 之 前 所 需 的 空闲 
时 间 ” 为 15 分 钟 

回 退 方案 还 原 “ 挂 起 会 话 之 前 所 需 的 空闲 时 间 ” 设 置 到 加 固 之 前 配置 

判断 依据 进入 “控制 面板 ”一 “管理 工具 ”一 “本 地 安全 策略 ” 在 “本 地 策略 ”一 “ 安 
全 选项 ”中 查看 是 否 “Microsoft 网 络 服务 器 ”设置 为 “在 挂 起 会 话 之 前 所 需 
的 空 亲 时间” 为 15 分 钟 

实施 风险 低 

重要 等 级 交 六 六 

备注 303 


2. 共享 文件 夹 及 访问 权限 
SHG-Windows-04-02-01 


兴国 
党 
过 
闪 


SHG-Windows-04-02-01 

关闭 默认 共享 

非 域 环境 中 ， 关 闭 Windows 硬盘 默认 共享 ， 例 如 C$、D$， 提 高 系统 安全 性 能 
防止 攻击 者 利用 系统 默认 共享 如 C$、D$ 等 ， 非 法 对 系统 的 硬盘 进行 访问 ， 以 
及 通过 I 了 PC$ 方 式 暴力 破解 账户 和 密码 

查看 并 记录 注册 表 
HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\ 增 加 了 REG 
DWORD 类 型 的 AutoShareServer 键 的 值 

参考 配置 操作 : 

进入 “开始 ”一 “运行 ”一 Regedit， 进 入 注册 表 编 辑 器 ， 

更 改 注册 表 键 值 ， 在 HKLM\System\CurrentControlSet\ Services\LanmanServer\ 
Parameters\ 下 ， 增 加 REG_DWORD 类 型 的 AutoShareServer 键 ， 值 为 0 

还 原 “AutoShareServer” 键 的 值 设 置 到 加 固 之 前 配置 

进入 "开始 "一 “运行 ”一 “Regedit”, 进入 注册 表 编 辑 器 , 查看 HKLM\System\Current 
ControlSet\ Services\LanmanServer\Parameters\ 下 , 是 否 已 增加 REG_DWORD 类 
型 的 AutoShareServer 键 ， 值 为 0 

低 

友 
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SHG-Windows-04-02-02 


编号 SHG-Windows-04-02-02 

名 称 设置 共享 文件 夹 访问 权限 

实施 目的 设置 共享 文件 夹 访问 权限 ， 防 止 用 户 非 法 访问 。 只 允许 授权 的 账户 拥有 权限 
共享 此 文件 夹 

问题 影响 增加 系统 未 授权 的 用 户 非法 访问 共享 文件 夹 的 风险 

系统 当前 状态 进入 “控制 面板 ”一 “管理 工具 ”一 “计算 机 管理 ”进入 “系统 工具 ”一 “ 共 
享 文件 夹 ” 查看 并 记录 每 个 共享 文件 夹 的 共享 权限 

实施 步骤 参考 配置 操作 : 


进入 “控制 面板 ”一 “管理 工具 ”一 “计算 机 管理 ”进入 “系统 工具 ”一 “ 共 
享 文件 夹 ”， 查看 每 个 共享 文件 夹 的 共享 权限 ， 只 将 权限 授权 于 指定 账户 


可 退 方案 还 原 每 个 共享 文件 夹 的 共享 权限 到 加 固 之 前 配置 
判断 依据 进入 “控制 面板 ”一 “管理 工具 ”一 “计算 机 管理 ” 进入 “系统 工具 ”一 “ 共 


享 文件 夹 ” 查看 每 个 共享 文件 夹 的 共享 权限 
查看 每 个 共享 文件 夹 的 共享 权限 是 否 仅 限于 业务 需要 , 不 设置 成 为 “everyone” 
实施 风险 低 


重要 等 级 妈妈 女 
备注 
3. 补丁 管理 
SHG-Windows-04-03-01 
编号 SHG-Windows-04-03-01 
名 称 安装 系统 补丁 
实施 目的 修复 系统 漏洞 。 应 安装 最 新 的 Service Pack 补丁 集 。 对 服务 器 系统 应 先进 行 兼 
容 性 测试 
问题 影响 如 系统 未 打 补 丁 或 补丁 未 打 全 ， 不 是 最 新 的 补丁 ， 则 面临 容易 被 攻击 、 渗 透 
和 控制 的 风险 
系统 当前 状态 进入 “控制 面板 ”一 “添加 或 删除 程序 ” 选中 “显示 更 新 ” 复 选 框 ， 查 看 并 
记录 当前 系统 安装 的 补丁 
实施 步骤 参考 配置 操作 : 


安装 最 新 的 Service Pack 补丁 集 ， 以 及 最 新 的 Hotfix 补丁 。 目 前 Windows XP 
的 Service Pack 为 SP3 
Windows2000 的 Service Pack 为 SP4，Windows 2003 的 Service Pack 为 SP2 

回 退 方案 旬 载 新 安装 的 补丁 

判断 依据 进入 “控制 面板 ”一 “添加 或 删除 程序 ”选中 “显示 更 新 ” 复 选 框 ， 查 看 是 
否 XP 系统 已 安装 SP3，Win2000 系统 已 安装 SP4，Win2003 系统 已 安装 SP2。 
同时 检查 所 有 的 hotfix, 并 查看 系统 安装 的 最 后 一 个 补丁 的 发 布 日 期 是 否 与 最 
近 最 新 发 布 的 补丁 日 期 一 致 

实施 风险 高 

重要 等 级 六 克 六 

备注 


4. 防 病毒 管理 


操作 系统 加 固 


SHG-Windows-04-04-01 


编号 SHG-Windows-04-04-01 

名 称 安装 、 更 新 杀毒 软件 

实施 目的 安装 防 病毒 软件 ， 并 及 时 更 新 ， 提 高 系统 防 病毒 能 力 

问题 影响 如 系统 中 未 安装 防 病毒 软件 或 防 病毒 软件 未 及 时 更 新 ， 则 系统 面临 容易 被 病 
毒 感染 的 风险 

系统 当前 状态 查看 是 否 安装 杀毒 软件 ， 打 开 防 病毒 软件 控制 面板 ， 查 看 病毒 码 更 新 日 期 

实施 步骤 参考 配置 操作 : 
安装 防 病毒 软件 ， 并 将 病毒 库 更 新 到 最 新 的 版 本 

回 退 方案 卸载 或 删除 杀毒 软件 

判断 依据 进入 “控制 面板 ”一 “添加 或 删除 程序 ” 查看 是 否 安装 有 防 病毒 软件 。 同 时 
打开 防 病毒 软件 控制 面板 ， 查 看 病毒 码 更 新 日 期 。 
如 已 安装 防 病毒 软件 ， 则 病毒 码 更 新 时 间 不 早 于 1 个 月 ， 各 系统 病毒 码 升 级 
时 间 要 求 参见 各 系统 相关 规定 

实施 风险 低 

重要 等 级 友 友 友 

备注 


SHG-Windows-04-04-02 


编号 
名 称 
实施 目的 


SHG-Windows-04-04-02 


问题 影响 


系统 当前 状态 


实施 步骤 


回 退 方案 
判断 依据 


实施 风险 
重要 等 级 
备注 


数据 执行 保护 配置 

提高 系统 抵抗 非法 修改 文件 的 性 能 。 对 于 Windows XP SP2 及 Windows 2003 
对 Windows 操作 系统 程序 和 服务 启用 系统 自 带 DEP 功能 〈 数 据 执行 保护 )， 
防止 在 受 保护 内 存 位 置 运行 有 害 代 码 

如 未 配置 系统 核心 的 数据 执行 保护 ， 则 无 法 对 在 内 存 位 置 运 行 有 害 代码 进行 
保护 

进入 “控制 面板 ”一 “系统 ”， 单 击 “ 高 级 ”选项 卡 的 “性 能 ”下 的 “设置 ” 
按钮 ， 进 入 “数据 执行 保护 ”选项 卡 ， 查 看 并 记录 “ 仅 为 基本 Windows 操 
作 系统 程序 和 服务 启用 DEP” 的 配置 状态 

参考 配置 操作 : 

进入 “控制 面板 ”一 “系统 ”， 单 击 “ 高 级 ”选项 卡 的 “性 能 ”下 的 “设置 ” 
按钮 ， 进 入 “数据 执行 保护 ”选项 卡 ， 设 置 为 “ 仅 为 基本 Windows 操作 系 
统 程序 和 服务 启用 DEP” 

将 “ 仅 为 基本 Windows 操作 系统 程序 和 服务 启用 DEP” 设 置 到 加 固 前 配置 
进入 “控制 面板 ”一 “系统 ”， 单 击 “ 高 级 ”选项 卡 的 “性 能 ”下 的 “设置 ” 
按钮 ， 进 入 “数据 执行 保护 ”选项 卡 ， 查 看 是 否 设置 为 “ 仅 为 基本 Windows 
操作 系统 程序 和 服务 启用 DEP” 

低 

太 
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5. Windows 服务 
SHG-Windows-04-05-01 


关闭 系统 不 必要 的 服务 ， 提 高 系统 安全 性 。 列 出 所 需要 服务 的 列表 (包括 所 


需 的 系统 服务 )， 不 在 此 列表 的 服务 需 关闭 


如 不 关闭 与 业务 和 应 用 无 关 或 不 必要 的 服务 ， 则 系统 面临 容易 被 攻击 、 渗 透 


编号 SHG-Windows-04-05-01 
名 称 关闭 服务 
实施 目的 
问题 影响 
或 利用 的 风险 
系统 当前 状态 运行 命令 net start 查看 当前 运行 的 服务 
实施 步骤 参考 配置 操作 : 


进入 “控制 面板 ”一 “管理 工具 ”一 “计算 机 管理 ”进入 “服务 和 应 用 程序 ”: 
查看 所 有 服务 ， 不 在 此 列表 的 服务 需 关 闭 
启动 类 型 ”包括 在 成 员 服务 器 基准 策略 中 的 理由 


服务 
COM+ 事 件 服务 
DHCP 客户 端 

分 布 式 链 接 跟踪 客户 
端 

DNS 客户 端 

事件 日 志 

逻辑 磁盘 管理 器 
逻辑 磁盘 管理 器 管理 
服务 

Netlogon 

性 能 日 志和 警报 


即 插 即 用 

受 保护 的 存储 区 
远程 过 程 

调用 (RPC) 
远程 注册 服务 
安全 账户 管理 器 
服务 器 

系统 事件 通知 
TCP/IP NetBIOS 
Helper 服务 
Windows 管理 规范 
驱动 程序 
Windows 时 间 服 务 


工作 站 


允许 组 件 服务 的 管理 
更 新 动态 DNS 中 的 记录 所 需 
用 来 维护 NTFS 卷 上 的 链接 


允许 解析 DNS 名 称 

允许 在 事件 日 志 中 查看 事件 日 志 消 息 
需要 它 来 确保 动态 磁盘 信息 保持 最 新 
需要 它 以 执行 磁盘 管理 


加 入 域 时 所 需 

网 络 通信 记 需 

收集 计算 机 的 性 能 数据 ， 向 日 志 中 写 
入 或 触发 警报 

Windows 标识 和 使 用 系统 硬件 时 所 需 
需要 用 它 保护 敏感 数据 ， 如 私 钥 
Windows 中 的 内 部 过 程 所 需 


hfnetchk 实用 工具 所 需 (参见 附注 》 
存储 本 地 安全 账户 的 账户 信息 
hfnetchk 实用 工具 所 需 (参见 附注 ) 
在 事件 日 志 中 记录 条 目 所 需 

在 组 策略 中 进行 软件 分 发 所 需 〈 可 用 
来 分 发 修补 程序 》 

使 用 “性 能 日 志和 警报 ”实现 性 能 警 
报时 所 需 

需要 它 来 保证 Kerberos 身份 验证 有 一 
致 的 功能 

加 入 域 时 所 需 


15 
操作 系统 加 固 
续 表 
编号 SHG-Windows-04-05-01 
回 退 方案 进入 “控制 面板 ”一 “管理 工具 ”一 “计算 机 管理 ”， 进 入 “服务 和 应 用 程序 ”， 
配置 并 启动 停止 的 服务 
判断 依据 系统 管理 员 应 出 具 系统 所 必要 的 服务 列表 。 
查看 所 有 服务 ， 不 在 此 列表 的 服务 需 关 闭 。 
进入 “控制 面板 ”一 “管理 工具 ”一 “计算 机 管理 ”进入 “服务 和 应 用 程序 六 
查看 所 有 服务 ， 不 在 此 列表 的 服务 是 否 已 关闭 
实施 风险 中 
重要 等 级 交 妆 克 
备注 


SHG-Windows-04-05-02 


编号 SHG-Windows-04-05-02 

名 称 修改 SNMP 服务 密码 

实施 目的 修改 SNMP 服务 密码 ， 防 止 泄露 系统 信息 。 如 需 启用 SNMP 服务 ， 则 修改 默 
认 的 SNMP Community String 设置 

问题 影响 如 未 修改 SNMP 服务 的 默认 密码 ， 则 攻击 者 利用 SNMP 信息 探测 工具 就 可 以 
获取 系统 信息 。 从 而 增加 系统 被 攻击 的 风险 

系统 当前 状态 打开 “控制 面板 ”， 打 开 “ 管 理工 具 ” 中 的 “服务 ”， 找到 “SNMP Service”， 307 
右 击 打开 “属性 ”面板 中 的 “安全 ”选项 卡 ， 查 看 community strings 的 值 

实施 步骤 参考 配置 操作 : 
打开 “控制 面板 ?”， 打 开 “ 管 理工 具 ” 中 的 “服务 ” 找到 “SNMP Service ”， 
右 击 打开 “属性 ”面板 中 的 “安全 ”选项 卡 ， 在 这 个 配置 界面 中 ， 可 以 修改 
community strings， 也 就 是 微软 所 说 的 “团体 名 称 ” 

回 退 方案 修改 community strings 值 到 加 固 前 状态 

判断 依据 打开 “控制 面板 ”打开 “管理 工具 ”中 的 “服务 ”， 找到 “SNMP Service”， 
右 击 打开 “属性 ”面板 中 的 “安全 ”选项 卡 , 在 这 个 配置 界面 中 , 查看 community 
strings 是 否 已 改 ， 而 不 是 默认 的 “public” 

实施 风险 中 

重要 等 级 女 

备注 

6. 启动 项 
SHG-Windows-04-06-01 

编号 SHG-Windows-04-06-01 

名 称 关闭 无 效 启 动 项 

实施 目的 关闭 无 效 的 服务 ， 提 高 系统 性 能 ， 增 加 系统 安全 性 。 列 出 系统 启动 时 自动 加 
载 的 进程 和 服务 列表 ， 不 在 此 列表 的 需 关 闭 

问题 影响 如 不 禁用 和 关闭 与 业务 和 应 用 无 关 或 不 必要 的 启动 项 和 进程 ， 则 系统 面临 容 
易 被 攻击 、 渗 透 或 利用 的 风险 

系统 当前 状态 查看 记录 在 “开始 ”一 “运行 ”中 输入 MSconfig， 启 动 菜单 中 各 项 配置 参数 

实施 步骤 参考 配置 操作 : 


在 “开始 ”一 “运行 ”中 输入 MSconfig， 取 消 不 必要 的 启动 项 
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续 表 

编号 SHG-Windows-04-06-01 
回 退 方案 在 “开始 ”一 “运行 ”中 输入 MSconfig， 还 原 各 项 启动 参数 到 加 固 前 状态 
判断 依据 系统 管理 员 提供 业务 必须 的 自动 加 载 进程 和 服务 列表 文档 。 

在 “开始 ”一 “运行 ”中 输入 MSconfig: 

不 需要 的 自动 加 载 进 程 是 否 已 禁用 和 取消 
实施 风险 中 
重要 等 级 六 太太 
备注 


SHG-Windows-04-06-02 


编号 

名 称 

实施 目的 
问题 影响 
系统 当前 状态 


回 退 方案 


判断 依据 


实施 风险 
备注 


SHG-Windows-04-06-02 

关闭 Windows 自动 播放 功能 

关闭 Windows 自动 播放 ， 防 止 从 移动 设备 感染 病毒 

如 不 关闭 Windows 自动 播放 ， 则 在 进行 U 盘 插 入 操作 的 时 候 ， 系 统 将 面临 被 
U 盘 中 的 病毒 感染 的 风险 

单 击 “开始 ” 一 “运行 ”命令 ， 输 入 gpeditmsc， 打 开 组 策略 编辑 器 ， 浏 览 到 
“计算 机 配置 ”一 “管理 模板 ”一 “系统 ”， 查 看 各 驱动 器 “关闭 自动 播放 ”状态 
参考 配置 操作 : 

单 击 “ 开 始 ”一 “运行 ”命令 ,输入 gpeditmsc， 打 开 组 策略 编辑 器 ， 浏 览 到 
“计算 机 配置 ”一 “管理 模板 ”一 “系统 ”， 在 右边 窗 格 中 双击 “关闭 自动 播 
放 ”， 对 话 框 中 选择 所 有 驱动 器 ， 确 定 即 可 

打开 组 策略 编辑 器 ， 浏 览 到 “计算 机 配置 ”一 “管理 模板 ”一 “系统 ”， 还 原 
驱动 器 “关闭 自动 播放 ”状态 

单 击 “ 开 始 ” 一 “运行 ”命令 ， 输 入 gpeditmsc， 打 开 组 策略 编辑 器 ， 浏 览 到 
“计算 机 配置 ”一 “管理 模板 ”一 “系统 ”: 

查看 是 否 所 有 驱动 器 均 选 择 “ 关 闭 自动 播放 ”， 查 看 “关闭 自动 播放 ”配置 是 
否 已 启用 ， 启 用 范围 : 所 有 驱动 器 

低 

六 六 六 
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。 在 不 同 的 环境 中 记录 合适 的 系统 事件 

。 识别 安全 事件 并 迅速 通报 安全 管理 员 

。 解释 Window 与 UNIX 的 系统 日 志 

。 判断 入 侵 事件 的 发 生 

。 使 用 通用 的 审计 工具 和 技术 管理 系统 安全 审计 

志 记 录 与 审计 是 系统 信息 安全 中 最 为 繁琐 的 两 个 环节 ， 这 些 工作 单调 并 且 耗 时 。 

但 这 些 工作 同样 也 是 安全 实践 中 最 为 重要 的 众多 工作 。 本 章 会 介绍 如 何 恰当 地 进行 这 些 
工作 ， 并 以 此 加 强 组 织 的 安全 环境 。 


16. 设置 日 志 记 录 


当 启动 一 个 日 志 记录 程序 时 ， 首 先 要 对 该 程序 的 初始 值 进 行 一 系列 的 设置 ， 以 下 几 
个 因素 是 需要 考虑 的 重点 。 

(1) 需要 记录 的 行为 内 容 。 

(2) 日 志 记录 需要 保存 的 时 间 。 

(3) 何 种 事件 发 生 后 ， 应 在 第 一 时 间 对 安全 管理 员 进行 报警 ? 


@-- 16.1.1 需要 记录 的 行为 -、 


目前 很 多 安全 管理 员 的 想法 是 记录 系统 中 的 每 一 个 事件 。 这 种 方案 可 以 避免 安全 事 
件 的 遗漏 ， 但 缺点 是 日 志 记录 程序 的 效率 太 低 ， 原 因 如 下 。 

(1) 该 方案 会 制造 出 大 量 的 日 志文 件 ， 导 致 繁重 的 审阅 工作 。 

(2) 过 度 的 记录 日 志 会 导致 系统 性 能 下 降 。 记 录 日 志 会 消耗 一 定 的 系统 资源 ， 在 普 
通 环境 下 影响 不 大 ， 但 在 记录 日 志 过 多 的 情况 下 ， 系 统 的 资源 就 大 量 消耗 ， 导 致 性 能 大 
幅 下 降 。 

(3) 一 些 关 键 事件 可 能 被 覆盖 。 很 多 组 织 将 日 志文 件 存储 在 特定 的 地 方 ， 如 果 该 位 
置 的 存储 能 力 有 限 ， 在 日 志文 件 大 小 超出 其 存储 空间 时 ， 有 些 日 志文 件 就 可 能 被 履 盖 ， 
从 而 导致 一 些 真正 危害 系统 的 事件 不 能 被 发 现 。 
因此 就 需要 明确 应 该 对 系统 的 哪些 事件 做 出 记录 。 下 面 通过 一 个 例子 说 明 要 根据 具 
体 的 环境 来 确定 日 志 记 录 的 内 容 。 

有 张 三 和 李 四 两 个 安全 管理 员 ， 张 三 是 一 个 政府 机 构 的 管理 员 ， 而 李 四 是 一 家 新 闻 
网 站 部 门 的 管理 员 ， 两 个 人 的 工作 都 是 负责 保护 组 织 系统 的 安全 。 但 两 个 人 工作 的 侧 寻 
点 是 不 同 的 ， 张 三 在 保证 其 网 络 安全 时 ， 更 关注 信息 安全 的 保密 性 〈 如 果 发 生 信息 泄露 ， 
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会 对 社会 安全 造成 破坏 )、 完 整 性 (政府 信息 常用 于 决策 制定 等 关系 重大 的 事件 ， 必 须 保 
证 其 准确 性 ) 和 可 用 性 〈 政 府 决策 人 员 必 须 不 断 通过 信息 来 进行 相关 决策 )。 因 此 要 求 其 
志 记 录 能 够 在 任意 一 个 属性 受到 损坏 后 能 及 时 对 管理 员 进 行 通报 。 

李 四 却 有 着 不 同 的 安全 需求 。 作 为 一 个 公共 的 新 闻 平台 ， 网 站 上 所 有 的 信息 对 公众 
都 是 开放 的 ， 因 此 不 需要 考虑 保密 性 。 然 而 ， 信 息 的 完整 性 和 可 用 性 则 是 需要 考虑 的 ， 
如 果 完 整 性 受 损 ， 那 么 公众 接受 的 信息 就 有 可 能 不 真实 ， 从 而 降低 公信 力 ; 如 果 可 用 性 
降低 ， 用 户 就 无 法 在 网 站 上 获取 信息 ， 会 转投 到 其 他 的 竞争 网 站 上 获取 信息 。 因 此 ， 李 
四 不 需要 记录 文件 存 取 这 样 的 事件 (这样 会 产生 大 量 的 无 用 记录 ), 但 需要 建立 防止 网 站 
非 授 权 修改 和 拒绝 服务 攻击 尝试 的 日 志 程序 。 


@--16: 人 2 一 记录 保留 时 间 一 -、 


每 个 操作 系统 都 允许 对 日 志 记 录 进 行 自动 存储 ， 但 会 根据 时 间或 存储 空间 的 规则 闹 
盖 相 应 的 日 志文 件 ， 具 体 使 用 哪 种 规则 需要 安全 管理 人 员 根 据 安全 的 优先 级 来 判断 。 如 
果 关 注 存储 日 志 记录 时 的 系统 资源 消耗 ， 就 应 当 在 记录 大 小 达到 特定 的 参数 后 对 原来 的 
记录 进行 履 盖 ， 以 防止 其 占用 额外 的 硬盘 资源 。 如 果 关 注 的 是 一 个 特定 时 间 段 的 日 志 记 
录 ， 就 应 该 使 用 基于 时 间 的 缆 盖 原则 ， 对 旧 的 日 志文 件 进行 删 除 操作 前 对 其 进行 备份 。 
最 好 是 建立 两 个 独立 的 日 志文 件 ， 一 个 文件 记录 完毕 后 ， 转 向 下 一 个 文件 进行 记录 ， 同 
时 将 已 经 记录 完毕 的 文件 及 时 进行 备份 ， 从 而 进行 循环 ， 这 样 就 可 以 对 一 段 时 间 的 系统 
行为 进行 记录 。 


9。 63 一 设置 报 善 系统 = 、 

目前 ， 主 流 的 操作 系统 都 可 以 在 特定 安全 事件 发 生 后 对 安全 管理 员 进行 报警 ， 这 样 
可 以 在 安全 事件 发 生 的 第 一 时 间 就 使 得 安全 管理 员 了 解 到 事件 的 情况 ， 并 采取 及 时 有 效 
的 措施 。 

系统 报警 形式 主要 包括 电子 邮件 、 纸 质 报告 、 短 信 、 即 时 通信 、 电 话 等 多 种 形式 。 
报警 机 制 可 由 以 上 多 种 方式 组 成 。 


@ - 16.1.4 Windows 日 志 记 录 --， 

Windows 操作 系统 中 优先 级 最 高 的 记录 机 制 是 事件 查看 器 ， 其 允许 系统 记录 不 同类 

型 的 系统 事件 。 所 有 的 Windows 系统 都 有 3 种 基本 的 日 志文 件 。 

口 安全 日 志 该 日 志 包括 发 生 在 系统 中 与 安全 相关 的 事件 ， 具 体 需 要 记录 的 内 容 
由 系统 管理 员 控制 。 几 个 典型 的 安全 日 志 记 录 包 括 尝试 登录 失败 、 尝 试 越权 以 
及 类 似 的 系统 事件 。 

口 应 用 日 志 该 日 志 记录 的 是 系统 中 启动 应 用 程序 的 事件 ， 由 每 个 软件 包 决 定 该 
日 志 的 内 容 。 除 了 记录 程序 的 名 字 以 外 ， 该 日 志 同 样 记录 与 菜 些 应 用 程序 相关 
的 核心 安全 信息 。 例如 ， 应 用 日 志 会 记录 未 能 成 功 删 除数 据 库 中 某 数 据 的 行为 。 


口 


安全 审计 原则 与 实践 


系统 日 志 ”该 日 志 记录 的 是 与 操作 系统 有 关 的 事件 。 例 如 软件 /硬件 故障 和 其 他 
的 系统 问题 ， 具 体 的 内 容 是 由 操作 系统 预 设 的 。 图 16-1 简单 列举 了 某 个 系统 查 
看 器 的 系统 日 志 的 部 分 信息 。 

BEDEEE] LDO[x 


.文件 中 操作 (查看 WD 帮助 中 
人 他 | 回 困 | 辽 罩 芭蕉 国 


好 信息 2011-1-30 23:03:13 Service Control Manager 
印信 息 2011-1-30 23:03:13 Service Control Manager 
名 信息 2011-1-30 23:02:52 Service Contral Manager 
二 信息 2011-1-30 23:02:51 Service Control Manager 
回信 息 2011-130 23:02:22 。 Service Control Manager 
名 信息 2011-1-30 23:02:22 Service Control Manager 
国信 息 2011-1-30 23:01:14 Service Control Manager 
国信 息 2011-1-30 23:01:13 Service Control Manager 
名 信息 2011-1-30 23:01:13 。 Service Control Manager 
印信 息 2011-1-30 23:01:11 Service Control Manager 
名 信息 2011-1-30 23:01:09 Service Control Manager 
加 信息 2011-1-30 23:01:08 。 Service Control Manager 
名 信息 2011-1-30 23:01:08 cService Control Manager 
国信 息 2011-1-30 23:01:06 Service Control Manager 
名 信息 2011-1-30 23:0106 Service Control Manager 
名 信息 2011-1-30 23:01:01 Service Control Manager 
Q 23:01:01 Service Control Manager 


z1 同 则 审 同 同 由 同 则 审 审 同 巾 由 是 巾 证 则 县 


Be 


16-1 事件 查看 器 


除 以 上 3 种 基本 的 日 志 类 型 外 ， 还 有 以 下 几 种 日 志 记录 。 


口 


口 


男 | 


目录 服务 日 志 ”该 日 志 存 储 在 Windows 域 控制 器 中 , 主要 内 容 是 与 Windows 目 
录 服 务 有 关 的 事件 记录 。 
文件 复制 服务 日 志 ”该 日 志 存 储 在 域 控制 器 中 ， 主 要 内 容 是 通过 文件 复制 服务 
复制 数据 的 事件 的 记录 。 


错误 日 志 ”该 日 志 记 录 的 事件 为 系统 内 发 生 重大 故障 的 事件 。 

警告 日 志 ”该 日 志向 系统 管理 员 报 告 系统 内 存在 的 潜在 安全 问题 ， 例 如 当 一 个 
硬盘 存放 的 数据 达到 其 承受 的 最 大 值 时 ， 会 及 时 触发 安全 警报 。 

信息 日 志 “记录 内 容 有 系统 管理 员 设 定 ， 一 般 是 系统 运行 情况 ， 但 并 不 会 反映 
系统 安全 隐患 的 内 容 。 例 如 ， 信 息 日 志 中 可 能 记录 系统 正常 启动 或 正常 停止 某 
一 进程 这 一 事件 。 


他--16:1.5 UNIX- 目 志 记录 -， 


UNIX 系统 通过 使 用 syslog 日 志 函 数 来 记录 日 志 , 同样 在 UNIX 类 操作 系统 上 ,syslog 


广泛 应 月 


日 于 系统 日 志 。syslog 日 志 消 息 既 可 以 记录 在 本 地 文件 中 ， 也 可 以 通过 网 络 发 送 


到 接收 syslog 的 服务 器 。 接 收 syslog 的 服务 器 可 以 对 多 个 设备 的 syslog 消息 进行 统一 的 
存储 ， 或 解析 其 中 的 内 容 做 相应 的 处 理 。 常 见 的 应 用 场景 是 网 络 管理 工具 、 安 全 管理 系 


第 


16 


312 


统 、 


信息 安全 技术 教程 


审计 系统 。 完 整 的 syslog 日 志 包含 产生 日 志 的 程序 模块 、 时 间 、 主 机 名 或 卫 地 


址 、 关 本 ， 进程 ID 和 正文 等 消息 ， 如 图 16-2 所 示 。 在 UNIX 类 操作 系统 上 ， 能 够 按 
相关 信息 决定 需要 记录 哪些 日 志 消息 ， 记 录 到 什么 地 方 ， 是 否 需 要 发 送 到 一 个 syslog 接 
收服 务 器 等 


18 12:3: 
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18 
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18 
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18 
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g 18 
g 18 
18 
18 
18 
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18 
18 
18 
18 
g 18 


和 Windows 的 事件 查看 器 一 样 ，syslog 也 允许 操作 


的 事件 和 


00 bt kernel: imklog 4.2.0, log source = /proc/knsg started. 
:00 bt rsyslogd: [origin software="rsyslogd” swVersion="4.2.0" x-pid="427" x-info="http://wuw. 


rsyslogd: rsyslogd's groupid changed to 103 
rsyslogd: rsyslogd's userid changed to 101 
rsyslogd-2039: Could no open output file ’/dev/xconsole’ [try http://wuu.rsyslog.con/e/ 


9.000000] Initializing cgroup subsys cpuset 
0.000000] Initializing cgroup subsys cpu 
0.000000] Linux version 2.6.39.4 (root@builder32) (gcc version 4.4.3 (Ubum 
hu Aug 18 13:38:02 NZST 2911 
.000000] KERNEL supported cpus: 
686806060] Intel GenuineIntel 
68006060] fID AuthenticAMD 
.606060060] NSC Geode by NSC 
8006690] Curix CyrixInstead 
660000] Centaur CentaurHauls 


kernel: 
kernel: 
kernel: 
kernel 
kernel 
kernel 
kernel 
kernel: 


[ 

[ 

T 

[ 

[ 

[ 

[ 

[ 

[ 

[ 660000] Transneta GenuineTHx86 
[ 600000] Transneta TransmetaCPU 

[ 000000] 

[ 990099] BI0S physical RAM map 

[ 8606060060] e820 : 0000000000000909 6000000000009f809 (us bicy 
[ 68006660] pl 6000000906069f 869 00000000009a0909 
[ 66000061 | : 000000060609cag9099 6000000906009cc909 
[ 68006600] 2 69060000006906dc969 90000000009e4000 
E .660660] 2 6006000600009e88: 600690009000100969 
[ 0.06000900] 5 0: 80600999909010008' 900000002f ef 0909 
0060660] 2 9 909090992feff999 
[ 909000091 | 9090600002ff00000 
[ 66690690] 6900000992ff90960 60000000030000609 
[ 90900000] eB2! 00000000e0000000 600000000f0000000 
[ 0000001 =820: 00000000fec00000 - 00000000fec10000 
[ 0000001 =820: 00000000fee00000 - 00000000fee01000 


图 16-2 syslog 部 分 内 容 


统 和 其 他 的 程序 对 每 一 个 具体 
ana 从 而 提供 一 个 可 变 、 灵 活 的 日 志 记录 报警 机 制 。 具 体 来 说 ， 


有 8 种 优先 级 别 ， 级 别 由 高 到 低 依次 如 下 。 


口 


OOODOD 


et, 表示 该 事件 属于 紧急 事件 ， 过 洒 通 知 则 有关 作用 户 。 

LOG ALERT 要 求 系统 管理 员 立 刻 对 系统 进行 备份 , 表示 当前 状态 需要 修正 。 
LOG_CRIT 一 般 硬件 错误 。 

LOG_ERR 一 般 系 统 故 障 ， 严 重 性 没有 上 一 级 高 。 

LOG_ WARNING 由 系统 管理 员 定 义 的 一 些 事件 ， 由 系统 不 安全 状态 引起 , 用 
于 了 解 系统 的 当前 安全 状态 是 否 受 损 。 

LOG_NOTICE 同样 是 由 系统 管理 员 定义 的 一 些 事件 , 但 并 不 包含 所 有 的 系统 
不 安全 状态 。 

LOG INFO ”提供 一 些 信 息 供 日 后 使 用 。 

LOG_DEBUG 调试 程序 时 的 信息 。 


16 2 日 志 数 据 分 析 


对 系统 进行 日 志 记录 之 后 要 通过 分 析 这 些 数据 对 系统 环境 进行 监控 。 具 体 有 两 个 操 


安全 审计 原则 与 实践 


作 : 建立 正常 行为 轮廓 ， 监 测 异 常 的 行为 。 
1. 建立 正常 行为 基准 


分 析 日 志文 件 的 第 一 步 就 是 先 了 解 哪些 行为 属于 正常 行为 ， 这 些 正常 行为 也 可 以 称 
为 行为 基准 。 这 些 行为 基准 就 是 不 同 的 系统 在 不 同 环境 中 、 不 同时 间 段 中 的 正常 系统 资 
源 消耗 ,将 用 于 日 后 的 异常 行为 监测 。 不同 时间 段 或 不 同 环境 下 的 系统 基准 是 不 一 样 的 。 
例如 ， 某 一 商业 系统 在 工作 时 段 的 基准 与 在 周末 时 段 的 基准 是 不 一 样 的 。 

作为 系统 管理 员 ， 要 为 系统 确定 合适 的 基准 来 监测 系统 的 故障 。 在 设置 准确 的 基准 
后 , 还 需要 在 日 常 的 系统 运行 中 对 其 进行 监测 , 根据 系统 的 变化 对 基准 进行 适当 的 修改 。 


2. 监测 异常 行为 


建立 系统 基准 之 后 ， 下 一 步 就 是 监测 异常 行为 ， 需 要 考虑 以 下 几 方 面 因 素 。 

(1) 行为 偏离 系统 基准 的 程度 

首先 要 确定 系统 基准 行为 的 阔 值 ， 不 同系 统 的 相应 阅 值 是 不 同 的。 例如 ， 统 计 两 个 
系统 的 行为 参数 ， 两 个 系统 CPU 利用 率 的 平均 值 都 为 45%， 其 中 一 个 系统 的 CPU 利用 
率 浮动 在 10% 一 60% 之 间 ， 另 一 个 系统 的 CPU 利用 率 浮动 在 5% 一 90% 之 间 。 可 以 通过 
以 上 数据 确定 第 一 个 系统 CPU 利用 率 的 阀 值 为 65%， 第 二 个 系统 CPU 利用 率 的 阀 值 为 
95%。 

(2) 偏差 行为 发 生 的 时 间 

某 些 正常 情况 下 ， 系 统 的 行为 也 有 可 能 超出 基准 的 阔 值 范围 。 确 定 这 些 行 为 是 否 为 
异常 事件 还 要 取决 于 行为 持续 的 时 间 。 根 据 不 同 的 系统 及 不 同 的 安全 需求 ， 时 间 标 准 是 
不 同 的 。 利 用 上 面 的 例子 ， 对 于 第 一 个 系统 ， 如 果 系 统 CPU 利用 率 超过 65% 的 情况 持续 
两 分 钟 以 上 , 则 被 认定 为 异常 事件 , 而 第 二 个 系统 CPU 利用 率 超 过 95% 的 情况 持续 半分 
钟 就 被 认定 为 异常 事件 。 

(3) 需要 报告 的 异常 事件 类 型 

每 个 系统 都 存在 着 一 些 更 能 说 明 系 统 正在 遭受 安全 威胁 的 事件 ， 这 类 事件 就 应 立刻 
向 系统 管理 员 报告 。 如 果 硬 盘 中 存放 着 企业 信息 的 数据 库 , 其 数据 利用 率 的 基准 为 40%， 
而 某 时 间 段 其 利用 率 突然 上 升 为 99%, 则 说 明 系 统 中 可 能 正在 发 生 着 针对 数据 库 的 入 侵 ， 
该 事件 就 应 该 被 立刻 报告 给 系统 管理 员 。 相 反 ， 有 些 严重 程度 相对 较 弱 的 事件 就 可 以 简 
单 的 记录 ， 供 日 后 进行 审阅 。 


3. 简化 数据 


日 志 记录 的 一 个 常见 错误 就 是 为 避免 错过 任何 细节 而 存储 大 量 数据 。 因 此 ， 日 志 记 
录 的 一 个 基本 原则 是 尽 可 能 缩小 日 志 记录 的 范围 从 而 缩减 日 志 记 录 的 数据 和 日 志 分 析 所 
用 的 时 间 。 但 事实 上 ， 在 很 多 环境 中 是 很 难 做 到 这 一 点 的 。 作 为 安全 分 析 员 ， 要 利用 一 
些 数 据 缩减 工具 来 缩小 日 志 记 录 范 围 。 

这 些 数 据 缩减 工具 通常 已 经 被 嵌入 在 建立 系统 日 志 的 安全 工具 之 中 。CheckPonit 的 
Firewall-l 的 渗透 保护 程序 就 带 有 日 志 记录 功能 。 在 打开 阅览 器 时 ， 会 呈现 出 所 有 的 日 志 
记录 数据 ， 这 些 数 据 量 是 相当 大 的 ， 要 一 一 审阅 难度 很 大 。CheckPoint 提供 了 一 种 过 滤 
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技术 ， 人 允许 系统 管理 员 通 过 使 用 工具 快速 缩减 日 志 数据 ， 只 留 下 相关 数据 。 例 如 ， 如 果 
上 周 四 某 SMTP 服务 器 遭受 了 邮件 欺骗 攻击 ,管理 员 希 望 将 该 事件 记录 独立 的 分 离 出 来 ， 
可 以 建立 两 个 过 滤器 来 实现 : 一 个 服务 器 用 于 过 滤 通 过 25 端口 的 TCP 流量 记录 ， 一 个 
服务 器 用 于 过 滤 发 生 在 上 周 四 的 所 有 流量 记录 。 这 样 可 以 有 效 降 低 日 志 分 析 工 作 。 


系统 日 志 安 全 维护 


系统 日 常 维护 对 系统 安全 也 很 重要 。 如 果 一 个 入 侵 者 可 以 获得 管理 员 权限 ， 就 可 以 
进入 系统 删除 相关 的 安全 日 志 ， 进 而 消除 其 进入 系统 的 痕迹 或 证 据 。 因 此 ， 对 系统 日 志 
的 安全 管理 也 必须 给 予 高 度 重 视 。 避 免 入 侵 者 修改 系统 日 志 的 方式 主要 有 以 下 几 种 。 
口 远程 记录 建立 一 个 核心 数据 库 ， 用 于 存储 网 络 中 所 有 系统 的 安全 日 志 ， 该 数 
据 库 的 安全 性 必须 足够 高 ， 能 够 防止 入 侵 者 随意 修改 日 志 记录 。 因 此 ， 数 据 库 
的 数据 都 应 该 是 只 读 的 ， 其 他 系统 只 能 写 入 数据 而 无 法 删除 数据 。 

口 记录 实时 输出 ”该 机 制 一 般 用 于 较 高 安全 性 环境 ， 打印 机 可 以 实时 输出 日 志 内 
容 ， 便 于 日 后 调查 。 

口 机 密 技术 该 技术 通常 用 于 对 日 志文 件 的 认证 ， 在 一 个 日 志文 件 完成 记录 后 ， 
系统 会 对 其 进行 数字 签名 。 管 理 员 想 要 审阅 日 志文 件 时 ， 首 先 需要 对 数字 签名 
进行 认证 ， 若 认证 没有 通过 ， 则 说 明 该 文件 已 经 被 修改 。 


系统 安全 审计 


安全 审计 是 安全 专家 必须 承担 的 一 份 责任 。 进 行 审核 时 ， 安 全 专家 分 析 各 个 系统 、 
应 用 程序 和 整个 网 络 的 安全 态势 ， 找 到 其 中 存在 的 缺陷 ， 然 后 制订 一 个 行动 计划 解决 该 
缺陷 。 


© -1164 审计 小 组 -， 

实施 一 次 成 功 的 安全 审计 ， 最 为 重要 的 因素 就 是 有 一 个 受过 良好 训练 并 积极 工作 的 
审计 小 组 。 i 同时 ， 小 组 成 员 应 该 包括 
多 种 职业 角色 ,除了 专业 技术 人 员 ， 还 应 该 包括 具有 审计 技术 的 会 计 师 ,， 提供 业务 监督 、 
人 员 管 理 的 管理 人 员 等 。 如 何 选择 小 组 成 员 取 决 于 组 织 的 复杂 性 及 具体 的 信息 安全 审计 
要 求 。 


人 -是 6542es 审计 宝生、 


审计 小 组 在 进行 信息 安全 审计 时 ， 可 以 利用 一 系列 具有 审计 功能 的 工具 。 这 些 工 具 
包括 审计 过 程 中 的 任务 列表 ， 用 于 探测 系统 漏洞 的 漏洞 评估 工具 等 。 在 下 面 内 容 中 ， 将 
介绍 几 种 常见 的 审计 工具 。 


安全 审计 原则 与 实践 


1. 检验 表 


检验 表 提 供 了 一 种 简单 的 途径 将 组 织 中 重复 的 工作 标准 化 。 检 验 表 主要 分 为 以 下 
几 种 。 
口 审计 检验 表 在 执行 安全 审计 时 提供 适当 的 高 级 别 指导 ， 有 几 种 不 同 的 工作 
方式 。 
口 设置 检验 表 提供 网 络 系统 设置 的 具体 信息 ， 通 常 包括 由 组 织 安全 策略 决定 的 
具体 设置 及 各 种 软件 在 系统 中 应 发 挥 的 作用 。 
口 漏洞 检验 表 包括 一 个 关键 漏洞 列表 ， 这 些 漏洞 都 需要 审计 者 在 执行 安全 审计 
时 进行 检查 。 漏 洞 检验 表 的 内 容 包 括 操作 系统 的 常见 漏洞 和 软件 程序 中 的 常见 
漏洞 。 
每 种 检验 表 在 审计 过 程 中 都 起 到 了 重要 作用 。 设 计 合 理 的 检验 表 可 以 帮助 系统 管理 
员 在 信息 安全 审计 中 发 挥 重 要 的 作用 。 
2. IP 和 端口 扫描 


卫 扫描 和 端口 扫描 器 是 入 侵 者 寻找 系统 漏洞 的 两 个 重要 工具 。 首 先 通过 IP 探测 确定 
网 络 中 运行 的 系统 ， 然 后 进一步 探测 发 现 开 放 的 端口 及 服务 。 有 些 服务 可 能 包含 漏洞 ， 
入 侵 者 们 就 通过 这 些 数据 对 系统 进行 恶意 攻击 。 安 全 管理 者 同样 可 以 利用 这 些 扫描 器 检 
测 在 网 络 中 运行 的 流氓 系统 和 服务 。 


3. 漏洞 扫描 


漏洞 扫描 器 分 析 系 统 中 常见 的 漏洞 ， 并 将 其 汇总 起 来 形成 详细 的 报告 ， 同 时 给 出 相 
应 的 补救 方法 。 

第 一 个 漏洞 扫描 器 叫做 SATAN， 发 布 于 20 世纪 90 年 代 早 期 。SATAN 根据 漏洞 库 
中 的 漏洞 对 网 络 中 的 主机 进行 扫描 ， 之 后 向 用 户 提 供 该 主机 可 能 存在 的 漏洞 ， 以 便 主机 
修复 。 目 前 最 新 的 漏洞 扫描 工具 叫做 SARA， 在 SATAN 的 基础 上 增加 了 一 些 新 的 功能 ， 
能 够 将 存储 日 志 记 录 的 数据 库 整 合 在 一 起 ， 便 于 日 后 分 析 。 

一 般 来 说 审计 工具 的 工作 分 为 4 个 步骤 。 

(1) 搜索 网 络 中 工作 的 所 有 主机 。 

(2) 对 这 些 主机 进行 扫描 ， 找 出 主机 系统 开放 的 端口 中 提供 的 服务 。 

(3) 分 析 这 些 服 务 的 漏洞 。 

(4) 根据 这 些 漏洞 提出 修补 意见 。 


4. 完整 性 检验 


另 一 个 用 于 安全 审计 的 工具 是 文件 完整 性 检验 ， 这 类 工具 通过 密码 签名 技术 对 系统 
中 每 一 个 受 保护 的 文件 进行 数字 签名 来 提供 完整 性 保护 。 之 后 周期 性 地 扫描 这 些 文件 ， 
重新 计算 数字 签名 ， 然 后 与 数据 库 中 存放 的 正确 数字 签名 对 比 ， 若 不 匹配 ， 那 么 就 向 系 
统管 理 员 报 告 该 情况 。 

Tripwire 是 目前 最 为 常见 的 完整 性 检验 工具 ， 以 高 度 自 动 化 的 方式 进行 上 述 操作 ， 
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一 般 用 于 保护 静态 网 站 或 其 他 存放 核心 数据 的 类 似 系 统 。 
5.， 渗透 测试 


上 述 儿 种 工具 的 运行 并 不 会 影响 系统 的 运行 ， 只 是 识别 系统 漏洞 并 进行 报告 。 寻 找 
更 多 安全 审计 方法 的 安全 专家 提出 了 渗透 测试 ， 用 系统 化 的 方式 对 系统 安全 防御 进行 渗 
透 ， 从 而 检测 系统 当前 的 安全 态势 。 

执行 渗透 测试 的 人 员 必 须 是 受到 良好 安全 训练 的 安全 专家 ， 需 要 对 信息 安全 有 更 好 
的 理解 ， 这 样 才能 更 加 有 效 地 进行 渗透 测试 。 


8@-- 16.4.3 审计 结果 处 理 -、 


审计 完成 以 后 ， 整 个 工作 还 没有 结束 ， 应 该 重新 审阅 整个 网 络 系统 所 使 用 的 安全 技 
术 带 来 的 结果 。 事 后 审计 的 工作 计划 包括 以 下 几 个 步骤 。 

(1) 给 出 审计 结果 的 报告 ， 包 括 检测 出 的 系统 存在 的 缺陷 及 相关 的 详细 资料 。 

(2) 对 系统 面临 的 危险 按 优先 级 进行 排列 。 

(3) 为 每 个 威胁 提出 修补 意见 与 方案 。 

(4) 按照 优先 级 处 理 这 些 威胁 。 

(5) 对 修补 过 程 进行 持续 性 的 监控 ， 并 吸取 相关 的 经 验 与 教训 。 

(6) 对 系统 进行 周期 性 的 审计 ， 识 别 系统 新 出 现 的 安全 威胁 。 


习题 
一 、 选 择 题 A. 远程 检验 表 B. 漏洞 检验 表 
C. 设置 检验 表 D. 审计 检验 表 
1. 目前 Web 服务 安全 的 关键 技术 有 
二 、 问 答题 


WS-Security 规范 、XML 签名 规范 、XML 加 密 规 
范 以 及 下 列 哪 一 项 ? (  ) 


es a 2、 简 述 日 志 数 据 具体 的 两 个 操作 
C. XEKMS D. OASIS RE Wi 


Ol 3. 思考 如 何 通过 通用 的 审计 工具 和 技术 来 
( ) 管理 系统 安全 审计 。 


1. 简 述 日 志 记录 的 设置 策略 。 
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。 理解 数据 库 安全 技术 的 概念 及 安全 体系 ， 掌 握 数 据 库 安全 的 主要 技术 
。 了 解 软件 存在 安全 问题 的 原因 ， 掌 握 软 件 开 发 的 安全 模型 及 策略 

。 理解 电子 商务 安全 策略 

。 掌握 Web 安全 策略 


17.0 数据 库 安全 技术 


@ -17.1.1 数据库 系统 面临 的 风险 -- 


、 
7 


数据 库 是 按照 数据 结构 来 组 织 、 存 储 和 管理 数据 的 仓库 。 随 着 信息 技术 的 飞速 发 展 ， 
数据 管理 不 再 仅 是 存储 和 管理 数据 ， 而 转变 成 用 户 所 需要 的 各 种 数据 管理 的 方式 。 数 据 
库 系统 在 实际 应 用 中 也 存在 来 自 于 各 方面 的 安全 风险 ， 这 越 来 越 引 起 用 户 和 数据 库 生 产 
商 的 注意 。 这 些 安 全 风险 主要 分 为 4 类 ， 见 表 17-1。 
表 17-1 数据 库 系 统 面临 的 主要 风险 
风险 类 型 描述 
操作 系统 的 风险 。” 指 宿主 操作 系统 层面 上 的 风险 ， 数 据 库 系 统 的 安全 性 最 终 要 靠 硬件 设备 和 操作 
系统 所 提供 的 环境 来 支撑 ， 如 果 操作 系统 允许 用 户 直接 存 取 数据 库 文件 ， 则 在 
数据 库 系 统 中 采取 最 可 靠 的 安全 措施 也 是 没有 意义 的 


管理 的 风险 主要 指数 据 库 管 理 部 门 的 安全 意识 ， 对 信息 网 络 安全 防范 的 重视 程度 及 相关 的 
安全 管理 措施 等 

用 户 的 风险 主要 表现 在 用 户 账号 和 对 特定 数据 库 对象 的 操作 权限 上 

数据 库 管理 系统 ”主要 指数 据 库 管理 系统 自身 设计 等 方面 的 缺陷 与 漏洞 

内 部 的 风险 


@-- 17.1.2 ”数据库 系 统 安全 -、 


1. 数据 库 系 统 安全 的 含义 


数据 库 系 统 安 全 有 两 层 含义 。 中 系统 运行 安全 。 系 统 运 行 安全 通常 受到 各 种 威胁 ， 
如 一 些 网 络 不 法 分 子 通过 网 络 等 手段 入 侵 计 算 机 使 系统 无 法 正常 启动 或 其 他 破坏 硬件 和 
活动 ， 导 致 系统 不 能 正常 提供 各 种 服务 ;@@ 系 统 信息 安全 ， 指 保护 数据 库 以 防止 非法 
户 的 越权 使 用 、 窃 取 、 更 改 或 破坏 数据 ， 如 黑客 经 常 入 侵 数 据 库 盗 取 各 种 敏感 资料 等 。 


< 
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数据 库 安全 除 依赖 自身 内 部 的 安全 机 制 外 ， 还 涉及 很 多 层面 ， 如 外 部 网 络 环境 、 应 用 环 
境 、 操 作 人 员 和 管理 人 员 的 业务 素质 水 平等 。 因 此 ， 从 广义 上 讲 ， 数 据 库 系统 的 安全 性 
涉及 以 下 3 个 方面 。 

口 网 络 系统 安全 这 是 数据 库 的 第 一 道 安全 屏障 ， 数 据 库 面 向 网 络 用 户 提供 各 种 
信息 服务 ， 其 安全 首先 依赖 于 网 络 系统 。 数 据 库 系统 要 想 发 挥 其 强大 的 作用 离 
不 开 网 络 系 统 的 支持 ， 数 据 库 系统 的 用 户 ( 如 分 布 式 用 户 ) 也 要 通过 网 络 才能 
访问 数据 库 。 因此， 可 以 说 网 络 系统 是 数据 库 应 用 的 外 部 环境 和 基础 。 目 前 ， 
网 络 系统 面临 的 主要 威胁 有 网 络 欺骗 、 木 马 程 序 、 入 侵 和 病毒 等 。 

口 宿主 操作 系统 安全 操作 系统 是 数据 库 系统 的 运行 平台 。 操 作 系 统 的 安全 策略 
和 安全 管理 策略 能 为 数据 库 系统 提供 菜 种 程度 上 的 保护 。 这 些 安全 策略 用 于 配 
置 计算 机 的 安全 设置 ， 如 密码 策略 、 审 核 策略 、 账 户 权利 分 配 等 。 

口 数据 库 管理 系统 安全 不同 的 数据 库 管 理 系 统 采用 不 同 的 安全 设置 策略 。SQL 
Server 的 安全 配置 经 常 包括 : 使 用 安全 的 密码 策略 ， 使 用 安全 的 账号 策略 ， 加 强 
数据 库 日 志 的 管理 ， 使 用 协议 加 密 ， 采 取 一 些 防 注入 措施 等 。 而 Oracle 也 有 一 
些 数据 库 安 全 产品 ， 如 DBCoffer 就 是 一 款 Oracle 数据 库 安 全 加 固 系 统 ， 该 产品 
能 够 实现 对 Oracle 数据 的 加 密 存 储 、 增 强权 限 控制 、 敏 感 数据 访问 的 审计 等 。 

这 3 个 方面 构筑 成 数据 库 的 安全 体系 ， 与 数据 安全 的 关系 是 紧密 相连 ， 防 范 的 重要 


性 也 逐 层 加 强 。 


2 数据库 系统 安全 的 特征 


数据 库 系统 的 安全 性 主要 是 针对 数据 而 言 的 ， 主 要 涉及 5 个 方面 ， 即 数据 独立 性 、 
数据 安全 性 、 数 据 完 整 性 、 并 发 控制 、 故 障 恢 复 。 
(1) 数据 独立 性 
数据 独立 性 包括 两 个 方面 : 物理 独立 性 和 逻辑 独立 性 。 
口 物理 独立 性 ” 指 用 户 的 应 用 程序 与 存储 在 磁盘 上 的 数据 库 中 的 数据 是 相互 独立 
的 ， 即 应 用 程序 要 处 理 的 只 是 数据 的 逻辑 结构 ， 而 不 需 了 解数 据 在 磁盘 上 是 如 
何 存储 的 ， 数 据 的 物理 存储 由 DBMS 管理 ， 当 数据 的 物理 存储 改变 了 ， 应 用 程 
序 不 用 改变 。 
口 逻辑 独立 性 指 用 户 的 应 用 程序 与 数据 库 的 逻辑 结构 是 相互 独立 的 ， 当 数据 的 
逻辑 结构 发 生疏 变 时 ， 用 户 程序 也 可 以 不 用 改变 。 
(2) 数据 安全 性 
数据 存储 的 安全 性 是 指数 据 库 在 系统 运行 之 外 的 可 读 性 。 相 比较 操作 系统 中 的 对 象 
而 言 ， 数 据 库 支持 的 应 用 要 求 更 为 精细 。 为 保证 数据 安全 性 ， 通 常 采取 以 下 方法 。 
口 采取 隔离 措施 ， 将 数据 库 中 需要 保护 的 数据 与 其 他 数据 分 隔 开 来 。 
口 采取 授权 措施 或 采用 访问 控制 方法 。 
口 采用 数据 加 密 技术 对 数据 进行 加 密 。 
(3) 数据 完整 性 
为 了 防止 数据 库 中 存在 不 符合 语义 规定 的 数据 和 防止 因 错 误 信 息 的 输入 输出 造成 无 
效 操作 或 错误 信息 ,数据 完整 性 概念 应 运 而 生 ， 它 包括 数据 的 正确 性 、 有 效 性 和 一 致 性 。 
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口 正确 性 指数 据 的 输入 值 要 与 数据 表 对 应 域 的 类 型 一 致 。 

口 有 效 性 ”指数 据 库 中 的 理论 数值 应 该 满足 现实 应 用 中 对 该 数值 段 的 约束 。 

口 “一致 性 指 不 同 用 户 使 用 的 同一 数据 应 该 是 一 样 的 。 

数据 完整 性 分 为 4 类 : 实体 完整 性 、 域 完整 性 、 参 照 完 整 性 和 用 户 定义 完整 。 可 以 
采用 外 键 、 约 束 、 规 则 和 触发 器 等 方法 保证 数据 的 完整 性 。 

(4) 并 发 控制 
当 多 个 事务 同时 存 取 数据 库 中 同一 数据 时 ， 数 据 库 管理 系统 采取 并 发 控制 来 确保 数 
据 库 的 完整 性 和 统一 性 。 例 如 ， 当 某 一 用 户 对 某 个 数据 进行 修改 而 未 存 入 数据 库 时 ， 如 
有 其 他 用 户 也 读 取 此 数据 ， 那 么 读 取 的 数据 就 是 不 正确 的 。 这 时 就 需要 实施 并 发 控制 ， 
排除 和 防止 此 类 错误 的 发 生 ， 保 证 数据 的 正确 性 。 简 单 地 说 ， 并 发 控制 的 目的 就 是 保证 
一 个 用 户 的 工作 不 会 影响 另 一 个 用 户 的 工作 。 并 发 控制 有 多 种 技术 手段 ， 如 封锁 、 时 间 
戳 、 乐 观 并 发 控制 和 翡 观 并 发 控制 等 。 

(5) 故障 恢复 

数据 库 故 障 恢复 和 并 发 控制 一 样 ， 都 是 数据 库 数据 保护 机 制 中 的 一 种 完整 性 控制 。 
任何 系统 都 避免 不 了 发 生 故 障 ， 这 就 要 求 数据 库 管 理 系统 要 有 一 套 故 障 恢 复 机 构 ， 能 及 
时 发 现 故障 和 修复 故障 ， 从 而 防止 数据 被 破坏 ， 保 证 数据 库 能 够 恢复 到 一 致 的 、 正 确 的 
状态 ， 尽 可 能 地 减少 故障 带 来 的 损失 。 数 据 库 管 理 系统 中 恢复 机 制 的 核心 是 保持 一 个 运 
行 日 志 ， 记 录 每 个 事务 的 关键 操作 信息 ， 比 如 更 新 操作 前 后 的 数据 值 。 


@ -17.1.3” 数 据 库 系 统 安全 防范 技术 -、 


/ 


在 了 解 了 数据 库 系统 存在 的 各 种 风险 及 数据 库 系 统 安全 特征 之 后 ， 这 里 主要 讨论 数 
据 库 系统 的 安全 防范 技术 ， 主 要 的 防范 技术 分 为 下 列 几 种 。 

1. 物理 安全 

数据 库 系统 安全 防范 中 最 基本 的 就 是 保证 物理 安全 。 这 主要 是 指 保证 数据 库 系统 在 
硬件 、 所 处 环境 、 网 络 连 接 等 方面 的 安全 不 受 自然 或 人 为 的 破坏 。 比 如 : 数据 库 服务 器 
所 处 环境 的 温度 、 湿 度 是 否 适宜 ; 是 否 只 有 数据 库 系统 管理 员 能 在 物理 上 接触 服务 器 等 。 

2. 访问 控制 

访问 控制 是 指数 据 库 管理 系统 内 部 按 用 户 身份 及 其 所 归属 的 某 项 定义 组 来 对 已 经 进 
入 系统 的 用 户 的 控制 ， 或 限制 对 某 些 功能 的 使 用 。 它 包括 账号 管理 、 密 码 策略 、 权 限 控 
制 和 用 户 认 证 等 ， 主 要 是 从 账号 相关 的 方面 来 保证 数据 库 系 统 的 安全 ， 是 数据 库 系统 基 
本 安全 的 核心 。 通 常 采取 两 种 方法 进行 访问 控制 : @ 按 系统 模块 对 用 户 授权 ， 即 针对 模 
块 对 不 同 用 户 设立 不 同 的 访问 权限 ，@ 将 数据 库 系统 权限 赋予 用 户 ， 即 用 户 访问 数据 库 
系统 时 需要 进行 身份 认证 以 确认 用 户 是 否 被 授权 访问 。 

3、 数据 加 密 

时 至 今日 ， 利 用 密码 技术 对 信息 进行 加 密 仍然 是 计算 机 系统 对 信息 进行 保护 的 一 种 


319 
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比较 可 靠 的 方式 。 对 数据 库 系 统 中 存储 的 重要 数据 进行 加 密 ， 实 现 信 息 隐 项 ， 从 而 起 到 
保护 数据 信息 安全 的 作用 。 数据 加 密 后 , 数据 库 表 中 存储 的 是 加 密 后 的 信息 , 即 “ 密 文 ”， 
只 有 采取 对 应 解密 算法 后 ， 才 能 获取 原始 的 数据 信息 ， 即 “明文 ”。 


4. 防 注入 技术 


现在 比较 流行 的 SQL 注入 就 是 利用 数据 库 的 外 部 接口 对 SQL 数据 库 进 行 查询 、 更 
新 等 操作 ， 黑 客 可 以 利用 此 方法 把 用 户 数据 插入 到 实际 的 数据 库 操 作 语言 当中 ， 从 而 达 
到 入 侵 数据 库 系统 甚至 整个 操作 系统 的 目的 。 为 了 尽 可 能 地 保护 数据 库 系统 不 受 注 入 的 
攻击 , 可 以 采取 相应 的 方法 , 如 拒绝 来 自 1443 端口 的 探测 、 更 改 SQL Server 默认 的 1443 
端口 、 对 网 络 连接 进行 卫 限制 等 。 


5. 数据 备份 


有 计划 的 数据 备份 是 保护 数据 安全 的 有 效 手段 。 在 数据 库 系统 遭 到 破坏 误 操 作 或 
者 恶意 攻击 ) 后 ， 通 过 恢复 数据 资源 能 尽 可 能 地 减少 数据 损失 。SQL Server 的 备份 和 还 
原 组 件 能 从 多 种 故障 中 〈 如 媒体 故障 、 用 户 错误 、 服 务 器 丢失 等 ) 恢复 和 还 原 存储 在 数 
据 库 中 的 关键 数据 。 用 户 可 以 根据 自己 的 实际 情况 确定 数据 的 可 用 性 要 求 ， 制 订 合 适 的 
数据 库 备 份 策略 。 

数据 库 系 统 的 安全 与 网 络 安 全 、 操 作 系统 安全 以 及 数据 库 管 理 系统 安全 是 紧密 结合 
的 。 因 此 ， 必 须根 据 实际 情况 和 安全 需求 进行 分 析 ， 制 订 安全 管理 策略 并 进行 彻底 测试 
以 确保 它们 实际 可 用 。 此 外 , 还 需 为 数据 库 系 统管 理 员 和 用 户 制 订 相 应 的 安全 培训 计划 ， 
以 保证 安全 策略 在 实施 过 程 中 的 有 效 执行 。 


D2 软件 开发 安全 技术 


@ - 17.2.1 软件 安全 问题 原因 --， 


软件 安全 是 目前 信息 安全 领域 最 为 关注 的 问题 之 一 。 软 件 安全 问题 的 原因 可 以 分 为 
两 种 : 内 因 和 外 因 。 内 因 主 要 是 指 在 设计 过 程 中 不 可 避免 的 缺陷 以 及 在 实现 过 程 中 的 故 
障 ; 外 因 主 要 是 指 软 件 运行 的 环境 。 

软件 的 安全 问题 主要 包括 以 下 几 个 方面 。 

1. 输入 验证 和 表示 法 

输入 验证 和 表示 问题 由 元 字符 、 替 换 编码 、 数 字 表示 法 引起 。 如 果 选 择 使 用 输入 验 
证 ， 那 么 就 要 使 用 白 列表 而 不 是 黑 列 表 。 由 于 轻信 输入 而 造成 的 问题 有 缓冲 区 溢出 、 跨 
站 脚本 攻击 、SQL 注入 、 缓 存 毒药 等 。 

2. 滥用 API 


API 指明 了 调用 者 和 被 调用 程序 之 间 的 使 用 约定 。 滥 用 API 的 常见 模式 是 调用 者 错 
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误 地 信任 被 调用 方 。 例 如 ， 调 用 者 希望 从 被 调用 程序 那里 返回 用 户 信息 ， 而 被 调用 程序 
并 没有 任何 安全 性 保证 其 信息 的 可 靠 性 。 于 是 调用 者 就 假定 了 调用 程序 返回 数据 的 正确 
性 和 安全 性 。 当 然 ， 也 存在 攻击 者 有 意 破坏 调用 者 和 调用 程序 之 间 约定 的 行为 。 

3. 安全 特性 

世界 上 所 有 的 加 密 算法 都 不 能 满足 真正 的 安全 需要 。 认 证 、 访 问 控制 、 机 密 性 保障 、 
加 密 算法 、 权 限 管理 等 都 可 能 存在 一 定 的 安全 缺陷 。 

4， 时间 与 状态 

分 布 式 计算 与 时 间 和 状态 相关 。 为 了 使 多 个 组 件 进行 通信 ， 状 态 必须 在 组 件 之 间 共 
享 ， 而 所 有 这 些 都 需要 花费 时 间 。 因 此 在 时 间 和 状态 之 间 可 能 存在 着 巨大 的 、 未 发 现 的 
天 然 攻击 资源 。 

5， 错 误 处 理 

如 果 想 破坏 软件 ， 可 以 让 它 抛 出 一 些 垃圾 数据 ， 然 后 看 看 出 现 了 哪些 错误 。 在 现代 
面向 对 象 系统 中 ， 异 常 的 概念 取代 了 被 禁止 的 goto 概念 。 与 错误 处 理 相 关 的 安全 缺陷 在 
开发 中 很 常见 。 在 API 被 滥用 的 情况 下 ， 安 全 缺陷 主要 存在 两 种 方式 ，@ 开 发 者 忘记 处 
理 错误 或 者 粗略 地 处 理 错误 ，@ 在 产生 错误 时 要 么 给 出 过 于 详细 的 信息 ， 要 么 错误 过 于 321 
太 具 放射 性 以 至 于 没有 可 处 理 它们 的 方式 。 

6， 代 码 质 量 

如 果 可 以 完整 地 描述 系统 和 其 存在 的 正面 、 负 面 的 安全 可 能 性 ， 那 么 安全 就 成 了 可 
靠 性 的 子 集 。 劣 质 代码 将 导致 无 法 预期 的 行为 ， 从 软件 使 用 者 的 观点 ， 它 的 可 用 性 是 很 
差 的 ， 而 从 攻击 者 的 角度 看 ， 粳 糕 的 代码 将 提供 给 系统 施 压 的 可 乘 之 机 。 

7. 封装 

封装 是 指 在 事物 之 间 的 边界 和 它们 之 间 建立 的 界限 。 在 Web 浏览 器 中 ， 它 确保 了 移 
动 代码 不 能 够 强行 攻击 硬盘 。 在 Web 服务 端 ， 它 意味 着 在 经 过 认证 的 有 效 数据 和 私密 数 
据 之 间 的 差别 。 这 里 的 边界 非常 重要 ， 如 今 在 类 之 间 的 一 些 方法 构成 了 重要 的 边界 ， 因 
此 信任 模式 需要 谨慎 地 设置 。 

8. 环境 


环境 指 上 述 内 容 的 外 部 领域 ， 包 括 在 代码 外 部 的 所 有 东西 ， 它 也 是 软件 安全 领域 不 
可 忽视 的 问题 。 


@ -17:2:2 一 软件 安全 开发 模型 =-… 


目前 ， 软 件 安 全 开发 主要 有 两 种 模型 一 种 是 微软 公司 的 安全 开发 模型 一 安全 开 
发 生命 周期 模型 (SDL); 另 一 种 是 威胁 建 模 模型 。 
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1. 安全 开发 生命 周期 


安全 开发 生命 周期 模型 分 为 以 下 4 个 步骤 。 

(1) 对 不 同人 群 进行 安全 教育 ， 从 而 提高 安全 意识 。 

口 设计 人 员 学 会 分 析 威胁 。 

口 开发 人 员 跟踪 代码 中 每 一 字 节 的 数据 ， 质 疑 所 有 关于 数据 的 假设 。 
口 测试 人 员 关注 数据 的 变化 。 

(2) 设计 阶段 ， 利 用 威胁 建 模 技术 建立 系统 模型 。 

(3) 开发 阶段 ， 编 码 与 测试 并 行 。 

(4) 发 行 与 维护 阶段 ， 使 用 标准 的 修复 机 制 修复 安全 缺陷 。 

2. 威胁 建 模 


威胁 模型 是 一 种 基于 安全 的 分 析 , 有 助 于 人 们 确定 给 产品 造成 最 高 级 别 的 安全 风险 ， 
以 及 攻击 是 如 何 表现 出 来 的 。 其 目标 是 确定 需要 缓和 哪些 威胁 及 如 何 缓和 这 些 威 胁 。 威 
胁 建 模 主要 分 为 以 下 4 个 步骤 。 

(1) 分 解 应 用 程序 。 使 用 数据 流 图 (DFD) 或 统一 建 模 语言 (UML) 描述 威胁 模型 
作为 分 析 应 用 程序 的 重要 组 成 部 分 。 对 应 用 程序 进行 形式 化 分 解 ， 自 项 向 下 、 逐 层 细 化 ， 
在 分 解 过 程 中 关注 过 程 之 间 的 数据 流 。 

(2) 确定 系统 面临 的 威胁 。 按 照 “STRIDE” 威 胁 模 型 来 分 类 ， 见 表 17-2。 

表 17-2 “STRIDE” 威 胁 模型 


威胁 类 型 ”描述 
S Spoofing identity， 即 身份 欺骗 ， 冒 充 合法 用 户 、 服 务 器 进行 欺骗 (DNS 欺骗 ，DNS 组 
存 中 毒 ) 


宣 Tampering with data， 算 改 数 据 

R Repudiation， 和 否认 

I Information disclosure， 信 息 泄露 

D Denial of service (DOS) ， 拒 绝 服务 
E Elevation of privilege， 特 权 升 级 


(3) 威胁 评估 。 按 照 “DREAD” 算 法 为 威胁 分 级 〈 表 17-3)， 并 建立 攻击 树 。 
表 17-3 “DREAD” 威 胁 等 级 


威胁 等 级 。” 涵义 威胁 等 级 。 ”涵义 
D Damage potential， 潜 在 的 破坏 Affected users， 受 影响 的 用 户 
及 Reproducibility， 再 现 性 Discoverability， 可 发 现 性 
E Exploitability， 可 利用 性 
例如 : 


口 Threat# 恶意 用 户 浏览 网 络 上 的 秘密 工资 数据 。 
口 潜在 的 破坏 性 ” 读 取 他 人 的 私密 工资 并 不 是 开玩笑 的 事 一 风险 值 为 8。 
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再 现 性 ”100% 可 再 现 一 -风险 值 为 10。 
可 利用 性 ”必须 处 于 同一 子 网 或 者 处 于 同一 路 由 器 下 一 一 风险 值 为 7。 
受 影响 的 用 户 ” 每 个 人 都 将 受到 影响 一 一 风险 值 为 10。 
可 发 现 性 ”假设 它 已 经 发 生 一 一 风险 值 为 10。 
计算 风险 DREAD (8+10+7+10+10)/5=9. 
攻击 树 描述 了 攻击 者 利用 系统 漏洞 破坏 各 组 件 ， 对 威胁 目标 进行 攻击 所 经 历 的 决策 
过 程 。 建 立 攻 击 树 需要 考虑 以 下 几 个 方面 。 
口 安全 威胁 潜在 的 事件 ， 当 攻击 有 动机 并 付 诸 实施 时 ， 威 胁 转变 为 攻击 事件 。 
口 安全 漏洞 系统 中 的 弱点 。 
口 资源 受 威胁 (或 攻击 ) 的 目标 。 
(4) 建立 缓和 方案 ， 选 择 适当 的 安全 技术 。 


@ - 17.2.3 ”软件 安全 开发 策略 


在 软件 开发 的 不 同 阶段 实施 相应 的 安全 开发 策略 。 
1， 规划 体系 结构 和 设计 解决 方案 


(1) 识别 和 评估 威胁 : 使 用 威胁 建 模 系统 地 识别 威胁 ， 而 不 是 以 任意 的 方式 应 用 安 
全 性 。 接 着 根据 攻击 或 安全 损害 产生 的 风险 和 可 能 造成 的 潜在 损失 ， 对 威胁 进行 评估 ， 
这 样 就 可 以 适当 的 次 序 对 威胁 进行 处 理 。 

(2) 创建 安全 的 设计 : 使 用 尝试 或 检验 过 的 设计 原则 。 集 中 处 理 关 键 区 域 ， 在 这 些 
区 域 , 经 常会 出 现 错误 ,这 里 称 之 为 应 用 程序 缺陷 类 别 。 其 中 包括 输入 验证 、 身 份 验证 、 
授权 、 配 置 管理 、 敏 感 数 据 保护 、 会 话 管 理 、 密 码 系 统 、 参 数 处 理 、 异 常 管理 和 审核 与 
日 志 记录 各 项 。 要 特别 注意 部 署 问题 ， 包 括 拓扑 、 网 络 基础 设施 、 安 全 策略 和 步骤 。 

(3) 执行 体系 结构 和 设计 复查 : 应 用 程序 设计 的 复查 与 目标 部 署 环 境 和 相关 的 安全 
策略 有 关 。 需 要 考虑 底层 基础 设施 层 安 全 性 〈 包 括 边界 网 络 、 防 火 墙 、 远 程 应 用 程序 服 
务 器 等 ) 带 来 的 限制 。 使 用 应 用 程序 缺陷 类 别 对 应 用 程序 进行 分 类 ， 并 分 析 适 合 于 每 个 
领域 的 方法 。 


2. 进行 应 用 开发 


(1) 开发 工具 的 安全 性 : 充分 了 解 开发 工具 (包括 语言 、 虚 拟 机 、IDE 环境 、 引 用 
的 第 三 方 工 具 包 等 )， 最 好 选择 开放 源 代码 的 开发 工具 ， 这 样 可 以 更 好 地 审核 其 安全 性 。 
检查 开发 工具 是 否 提 供 了 用 户 和 代码 安全 模型 ， 是 否 允许 对 用 户 和 代码 可 以 执行 的 操作 
进行 限制 。 如 果 开 发 中 涉及 公开 对 称 和 不 对 称 的 加 密 与 解密 、 散 列 、 随 机 数 生成 、 数 字 
签名 支持 等 算法 ， 最 好 选用 可 靠 的 公开 算法 ， 避 免 自己 炮制 算法 。 

(2) 编写 安全 代码 库 : 对 程序 集 进行 数字 签名 ， 使 它们 不 能 被 随意 改动 。 通 过 遵守 
面向 对 象 设计 原理 ， 减 小 程序 集 的 受 攻 击 面 ， 然 后 使 用 代码 访问 安全 性 ， 进 一 步 限制 哪 
些 代码 可 以 调用 您 的 代码 。 使 用 结构 化 的 异常 处 理 方法 防止 敏感 信息 蔓延 到 当前 信任 边 
界 之 外 ， 并 开发 更 加 可 靠 的 代码 。 避 免 常规 问题 ， 特 别 是 输入 文件 名 和 URL 的 问题 。 
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(3) 安全 地 处 理 异常 : 不 要 显示 内 部 系统 或 应 用 程序 的 详细 信息 ,如 堆栈 跟踪 、SQL 
语句 片断 等 。 确 保 这 类 信息 不 被 允许 蔓延 到 最 终 用 户 或 当前 信任 边界 以 外 。 在 异常 事件 
中 安全 地 “失败 ” 确保 应 用 程序 拒绝 非法 访问 ， 而 且 没 有 停留 在 不 安全 的 状态 下 。 不 记 
录 敏 感 或 私有 数据 ， 如 密码 ， 以 免 造 成 危害 。 在 记录 或 报告 异常 时 ， 如 果 用 户 的 输入 包 
括 在 异常 消息 中 ， 需 对 其 进行 验证 或 清理 。 例 如 ， 如 果 返 回 一 个 HIML 错误 消息 ， 那 么 
应 该 对 输出 进行 编码 ， 以 避免 脚本 注入 。 

(4) 执行 第 三 方 代码 的 安全 复查 : 使 用 分 析 工 具 分 析 二 进 制程 序 集 ， 确 保 它 们 符合 
安全 设计 准则 ， 并 修复 分 析 工 具 识别 出 的 所 有 安全 缺陷 。 复 查 具体 的 应 用 程序 元 素 ， 包 
括 Web 页 面 和 控件 、 数 据 访问 代码 、Web 服务 、 服 务 组 件 等 。 此 外 ， 要 特别 注意 SQL 
注入 和 跨 站 点 脚本 编写 缺陷 。 

(5) 保证 开发 人 员工 作 站 的 安全 性 : 使 用 一 套 方法 保证 工作 站 的 安全 性 。 保 证 账户 、 
协议 、 端 口 、 服 务 、 共 享 、 文 件 与 目录 和 注册 表 的 安全 。 最 重要 的 是 ， 保 持 工 作 站 具备 
当前 最 新 的 补丁 与 更 新 。 例 如 ， 如 果 要 在 Windows XP 或 Windows 2000 上 运行 Intemet 
信息 服务 (IS), 则 运行 ISLockdown。IISLockdown 应 用 安全 的 IS 配置 ,并 安装 URLScan 
Intemet 安全 应 用 程序 编程 接口 (ISAPI) 筛选 器 ， 该 筛选 器 用 于 检测 和 拒绝 潜在 的 恶意 
HTTP 请 求 。 

(6) 编写 具有 最 低 权 限 的 代码 : 可 以 限制 代码 能 够 执行 的 操作 ， 这 与 运行 该 代码 所 
使 用 的 账户 无 关 。 通 过 配置 策略 或 编写 代码 ， 可 以 使 用 代码 访问 安全 性 控制 来 限制 代码 
允许 被 访问 的 资源 和 操作 。 如 果 代 码 不 需要 访问 某 种 资源 或 执行 某 种 敏感 操作 ， 可 以 通 
过 安全 性 配置 来 确保 代码 不 会 被 授予 这 种 权限 。 

(7) 防止 SQL 注入 : 使 用 数据 访问 的 参数 化 存储 过 程 。 使 用 参数 要 确保 输入 值 的 类 
型 和 长 度 都 得 到 检查 。 将 参数 视 作 安全 文本 值 和 数据 库 内 的 不 可 执行 代码 。 如 果 不 能 使 
用 存储 过 程 ， 也 可 以 使 用 带 有 参数 的 SQL 语句 ， 但 不 要 通过 连接 SQL 命令 和 输入 值 来 
构建 SQL 语句 。 此 外 ， 还 要 确保 应 用 程序 使 用 具有 最 低 权 限 的 数据 库 登 录 ， 以 限制 它 
在 数据 库 中 的 功能 。 

(8) 防止 跨 站 点 脚本 编写 :对 输入 类 型 、 长 度 、 格 式 和 范围 进行 验证 ， 并 对 输出 进 
行 编码 。 如 果 输 出 包括 输入 (包括 Web 输入 )， 则 对 输出 进行 编码 。 例如， 对 窗 体 字段 、 
查询 字符 串 参数 、cookie 等 进行 编码 ， 以 及 对 从 无 法 确定 其 数据 是 安全 的 数据 库 特别 
是 共享 数据 库 ) 中 读 取 的 输入 进行 编码 。 对 需要 以 HTML 返回 客户 端的 自由 格式 的 输入 
字段 ， 对 输出 进行 编码 ， 然 后 选择 性 地 清除 在 许可 元 素 上 的 编码 。 

(9) 管理 机 密 : 最 好 寻找 避免 存储 机 密 的 替代 方法 。 如 果 必 须 存储 它们 ， 则 不 要 在 
源 代码 或 配置 文件 中 以 明文 的 方式 存储 。 

(10) 安全 地 调用 代码 接口 : 特别 注意 传递 给 接口 和 接口 返回 的 参数 ， 防 止 潜在 的 组 
冲 区 溢出 。 验 证 输入 和 输出 字符 串 参 数 的 长 度 ， 检 查 数组 边界 及 文件 路 径 的 长 度 。 

(11) 执行 安全 的 输入 验证 : 对 输入 进行 限制 、 拒 绝 和 清理 ,因为 验证 已 知 有 效 类 型 、 
模式 和 范围 的 数据 要 比 通过 查找 已 知 错误 字符 来 验证 数据 容易 得 多 。 验 证 数据 的 类 型 、 
长 度 、 格 式 和 范围 ， 对 字符 串 输入 ， 则 使 用 正则 表达 式 。 有 时 候 可 能 需要 对 输入 进行 清 
理 ， 如 在 对 数据 编码 后 清理 编码 元 数据 ， 以 保证 其 安全 性 。 

(12) 保证 页 面 访问 身份 验证 的 安全 性 : 安全 地 划分 Web 站 点 ， 隔 离 匿 名 用 户 可 以 
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访问 的 公共 可 访问 页 面 和 需要 身份 验证 访问 的 限制 性 页 面 。 使 用 安全 套 接 字 层 (SSL) 

来 保护 窗 体 身份 验证 凭据 和 窗 体 身 份 验 证 cookie。 限 制 会 话 生 存 时 间 和 确保 身份 验证 
cookie 只 在 HITPS 上 传输 。 对 身份 验证 cookie 加 密 ， 不 要 在 客户 端 计算 机 上 保留 它 ， 

也 不 要 将 其 用 于 个 性 化 目的 ;对 个 性 化 使 用 单独 的 cookie。 


3. 管理 和 维护 系统 


(1) 实现 补丁 管理 : 针对 Microsoft 平台 ， 那 么 可 以 使 用 Microsoft Baseline Security 
Analyzer (MBSA) 来 检查 当前 可 能 漏 掉 的 补丁 和 更 新 。 定 期 运行 该 操作 ， 保 持 服务 器 当 
前 安装 有 最 新 的 补丁 和 更 新 。 在 应 用 补丁 前 ， 对 服务 器 数据 进行 备份 ; 在 将 补丁 安装 在 
生产 服务 器 上 之 前 , 先 在 测试 服务 器 上 进行 测试 。 还 要 使 用 Microsoft 提供 的 安全 通知 服 
务 ， 并 订阅 通过 电子 邮件 接收 的 安全 布告 。 针 对 UNIX/Linux 平台 ， 可 以 订阅 有 关 漏 洞 
及 补丁 的 邮件 列表 ， 定 期 使 用 工具 ， 检 查 服 务 器 上 安装 的 补 本 是否 与 UNIX/Linux 厂商 
发 布 的 最 新 补丁 列表 相 一致 。 

(2) 保证 Web 服务 器 的 安全 性 : 针对 Microsoft 平台 上 运行 的 IS 服务 ， 可 以 使 用 
IISLockdown 应 用 安全 的 IIS 配置 ， 并 安装 URLScan Intemet 安全 应 用 程序 编程 接口 
(CISAPI) 筛选 器 ， 该 筛选 器 用 于 检测 和 拒绝 潜在 的 恶意 HTTP 请 求 。 针 对 UNIX/Linux 
平台 上 运行 的 Apache 服务 , 可 以 采用 选择 性 访问 控制 (DAC) 和 强制 性 访问 控制 (MAC) 
的 安全 策略 ， 或 者 安装 安全 相关 的 模块 。 针 对 WebService 常用 的 协议 (如 soap)， 可 以 
使 用 XML 加 密 以 确保 敏感 数据 保持 其 私有 性 。 使 用 数字 签名 保证 消息 的 完整 性 ， 特 别 
重要 的 数据 应 使 用 SSL 加 密 。 最 重要 的 是 ， 保 持 服务 器 安装 了 当前 最 新 的 补丁 和 更 新 ， 
并 使 其 按照 最 小 权限 运行 。 

(3) 保证 数据 库 服务 器 的 安全 性 : 应 用 一 种 常见 方法 评估 账户 、 协 议 、 端 口 、 服 务 、 
共享 、 文 件 与 目录 和 注册 表 。 还 要 评估 SQL Server 的 安全 设置 ， 如 身份 验证 模式 和 审核 
配置 。 评 估 身 份 验证 方法 和 SQL Server 登录 、 用 户 与 角色 的 使 用 。 确 保安 装 最 新 的 服务 
包 ， 定 期 监测 操作 系统 和 SQL Server 补丁 与 更 新 。 

(4) 防止 拒绝 服务 攻击 : 确保 加 强 了 服务 器 上 的 TCP/IP 堆栈 配置 ， 以 应 对 如 SYN 
flood 这 样 的 攻击 。 对 Web 服务 的 配置 做 适当 的 修改 以 限制 接受 的 POST 请 求 的 规模 ， 
并 对 请 求 的 执行 时 间 做 出 限制 。 

(5) 限制 文件 VO: 可 以 配置 代码 访问 安全 策略 ， 以 确保 限制 单个 程序 集 或 整个 Web 
应 用 程序 只 能 访问 文件 系统 。 例 如 ， 通 过 配置 运行 在 媒体 信任 级 上 的 Web 应 用 程序 ， 可 
以 防止 应 用 程序 访问 其 虚拟 目录 层次 结构 以 外 的 文件 。 同 时 ， 通 过 为 特定 程序 集 授 予 受 
限 的 文件 IO 权限 ， 可 以 精确 控制 哪些 文件 可 以 被 访问 以 及 应 该 如 何 访问 它们 。 

(6) 执 行 远程 管理 : 针对 Microsoft 平台 , 其 终端 服务 提供 了 一 种 专用 的 协议 (RDP)。 
它 支持 身份 验证 ， 并 提供 加 密 。 如 果 需 要 文件 传输 工具 ， 可 以 从 Windows 2000 Server 
资源 包 中 安装 文件 复制 实用 工具 。 建 议 不 要 使 用 IS Web 管理 ， 如 果 运 行 ISLockdown 
该 选项 将 被 清除 。 应 该 考虑 提供 一 个 加 密 的 通信 通道 ，IPSec 限制 可 以 远程 管理 服务 器 
上 的 计算 机 。 还 应 该 限制 管理 账户 的 数量 。 针 对 UNIX/Linux 平台 ， 建 议 采 用 SSH 进行 
远程 管理 ， 文 件 传输 使 用 SFTP。 
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3 电子 商务 安全 策略 


© - 1733 电子 商务 安全 基础 = ~ 

电子 商务 是 一 个 不 断 发 展 的 概念 ， 通 常 指 以 商务 活动 为 主体 ， 电 子 化 方式 为 手段 ， 
互联 网 为 基础 和 工具 的 各 种 商业 活动 、 贸 易 活 动 、 金 融 活 动 和 其 他 相关 综合 服务 活动 的 
一 种 商业 运营 模式 。 安 全 性 始终 是 电子 商务 的 核心 和 关键 问题 ， 也 是 制约 其 发 展 的 最 重 
要 因素 。 如 何 建立 一 个 安全 的 电子 商务 应 用 环境 ， 保 证 整个 商务 活动 中 信息 的 安全 性 和 
交易 者 的 利益 已 经 成 为 一 个 重要 话题 。 


1， 电子 商务 的 安全 要 求 


电子 商务 的 一 个 重要 特征 就 是 利用 计算 机 技术 、 网 络 技术 和 远程 通信 技术 来 处 理 和 
传输 商业 信息 ， 而 由 于 互联 网 本 身 的 开放 性 特点 ， 使 得 网 上 交易 面临 种 种 威胁 ， 常 见 的 
威胁 如 下 。 

(1) 虚假 身份 的 交易 对 象 及 虚假 合同 、 订 单 。 

(2) 商业 机 密 在 传输 过 程 中 被 第 三 方 获 取 、 泄 露 、 算 改 或 恶意 破坏 。 

(3) 交易 对 象 的 抵赖 。 

(4) 信息 破坏 ， 只 要 指 由 计算 机 系统 或 网 络 故障 造成 的 对 交易 过 程 和 商业 信息 安全 
的 破坏 等 。 

因此 ， 为 了 保证 电子 商务 过 程 能 够 安全 顺利 地 完成 ， 电 子 商 务 的 信息 安全 有 以 下 几 
点 安全 控制 要 求 。 

(1) 信息 的 保密 性 

电子 商务 作为 贸易 的 一 种 手段 ， 其 信息 一 般 都 直接 涉及 到 交易 者 的 商业 机 密 。 保 证 
商业 机 密 安 全 是 电子 商务 安全 的 重要 内 容 。 因 此 ， 为 了 预防 信息 在 交易 过 程 中 被 非法 窃 
取 ， 交 易 中 的 商务 信息 均 有 保密 要 求 。 保 密 性 一 般 通 过 密码 技术 对 传输 的 信息 进行 加 密 
处 理 来 实现 。 

(2) 信息 的 完整 性 

信息 的 完整 性 包括 信息 在 电子 商务 交易 过 程 中 不 被 算 改 和 破坏 ， 以 及 在 传输 的 过 程 
中 保证 收 到 的 信息 和 原 发 送 的 信息 的 一 致 性 。 保 持 贸易 各 方 信息 的 完整 性 是 电子 商务 应 
用 的 基础 。 输 入 数据 可 能 出 现 的 意外 差错 或 者 欺诈 行为 都 会 导致 交易 各 方 信息 的 差异 ， 
因此 为 了 维护 商业 信息 的 完整 和 统一 ， 电 子 商务 系统 应 该 充分 保证 数据 传输 、 存 储 及 电 
子 商 务 完整 性 检查 的 正确 性 和 可 靠 性 。 一 般 使 用 信息 摘要 的 方式 来 保持 信息 的 完整 性 。 

(3) 信息 的 真实 性 

信息 的 真实 性 是 保证 电子 商务 顺利 实现 的 基础 ， 它 包括 两 方面 : 一 是 指 网 上 交易 双 
方 提供 信息 内 容 的 真实 性 ; 二 是 指 交易 双方 身份 的 真实 性 ， 而 非 假冒 或 者 不 存在 的 。 为 
了 保证 身份 的 真实 性 ， 使 交易 双方 能 够 在 互 不 见面 的 情况 下 完成 交易 ， 需 要 对 人 或 实体 
的 身份 信息 进行 鉴别 和 认证 ， 这 通常 由 认证 机 构 和 证 书 来 实现 。 
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(4) 信息 的 有 效 性 

交易 信息 的 有 效 性 是 电子 商务 顺利 完成 的 前 提 。 电 子 商务 的 交易 信息 以 电子 形式 存 
在 而 不 同 于 传统 的 纸张 模式 ， 其 有 效 性 直接 关系 到 交易 者 的 经 济 利 益 和 声誉 ， 因 此 要 对 
各 种 潜在 的 威胁 ， 诸 如 操作 错误 、 网 络 故障 、 软 硬件 故障 、 病 毒 与 木马 等 加 以 控制 和 预 
防 ， 确 保 交 易 信 息 在 确定 的 时 刻 和 确定 的 地 点 是 有 效 的 。 

(5) 信息 的 不 可 否认 性 

交易 信息 的 不 可 否认 性 是 交易 过 程 严 肃 和 公正 的 体现 ， 它 是 指 交易 一 旦 达成 是 不 能 
被 否认 的 ， 交 易 信息 是 不 可 被 修改 的 ， 即 任何 一 方 不 能 否认 已 经 确认 完成 的 交易 过 程 ， 
否则 必然 会 给 另 一 方 带 来 损失 。 由 于 交易 方式 的 特殊 性 ， 在 电子 商务 中 通过 手写 签名 和 
印章 进行 交易 双方 的 鉴别 已 经 不 可 能 ， 因 此 必须 在 交易 信息 的 传输 过 程 中 为 交易 者 提供 
可 靠 的 标识 。 


2. 电子 商务 安全 技术 


电子 商务 是 以 互联 网 的 基础 设施 和 标准 为 基础 ， 涉 及 电子 技术 、 计 算 机 技术 、 通 信 
技术 等 广泛 领域 。 为 了 保证 电子 商务 整个 过 程 的 安全 顺利 执行 ， 一 些 安全 技术 和 安全 机 
制 被 运用 到 电子 商务 中 。 

(1) 防火 墙 技术 

防火 墙 是 建立 在 内 外 网 络 边界 上 的 过 滤 封 装机 制 ， 它 负责 过 滤 进 入 或 离开 计算 机 网 
络 的 通信 数据 , 通过 对 接收 到 的 数据 包 和 防火 墙 内 部 过 滤 规 则 库 中 的 安全 规则 进行 比较 ， 
决定 是 否 把 一 个 数据 包 转 发 到 它 的 目的 地 。 防 火 墙 有 两 种 安全 策略 : 未 被 允许 访问 的 服 
务 都 是 被 禁止 的 ;未 被 禁止 访问 的 服务 都 是 允许 的 。 目 前 使 用 的 防火 墙 主要 可 分 为 包 过 
滤 型 和 状态 检测 型 两 种 。 

防火 墙 技术 是 网 络 安全 中 最 重要 的 安全 控制 技术 。 简 单 防火 墙 技术 可 以 在 路 由 器 上 
实现 ， 而 专用 防火 墙 可 以 提供 更 加 可 靠 的 网 络 安全 控制 。 但 是 ， 防 火 墙 仅 是 复杂 的 边界 
保护 链 中 的 一 环 ， 而 且 自 身 也 有 一 定 的 局 限 性 ， 所 以 还 需要 其 他 安全 技术 配合 使 用 。 

(2) 数字 加 密 技术 

数字 加 密 被 认为 是 网 络 中 最 基本 的 安全 技术 ， 也 是 电子 商务 中 最 基本 的 安全 保障 形 
式 。 它 是 通过 加 密 算法 对 敏感 信息 进行 加 密 ， 然 后 把 加 密 好 的 数据 〈 密 文 ) 和 密 钥 在 线 
路 上 传送 给 接收 方 或 者 在 数据 库 中 存储 ， 接 收 方 只 有 通过 解密 算法 对 密 文 进行 解密 才能 
获取 敏感 信息 ， 从 而 保证 了 数据 的 机 密 性 。 

数字 加 密 技术 有 两 类 最 基本 的 方法 : 对 称 加 密 技 术 和 非 对 称 加 密 技 术 。 在 对 称 加 密 
技术 过 程 中 ， 加 密 和 解密 算法 使 用 相同 的 密 钥 ， 其 特点 是 加 解密 速度 快 、 保 密 性 强 ， 但 
前 提 是 必须 通过 安全 的 途径 来 传送 密 钥 。 典 型 的 对 称 加 密 算 法 有 DES 和 IDEA。 而 非 对 
称 加 密 技 术 则 是 使 用 一 对 在 数学 上 相互 关联 的 密 钥 : 一 个 公开 密 钥 和 一 个 私有 密 钥 。 从 
公 钥 推导 出 密 钥 需要 超大 的 计算 量 ， 实 际 上 是 不 可 行 的 。 非 对 称 加 密 的 特点 是 可 以 适应 
网 络 开放 性 要 求 ， 且 密 钥 管理 问题 相对 简单 ， 但 是 算法 复杂 ， 加 密 速 率 相对 较 低 。 典 型 
的 非 对 称 加 密 算法 有 RSA 算法 。 

(3) 认证 技术 

安全 认证 技术 是 保证 电子 商务 活动 中 的 交易 双方 身份 及 其 所 用 文件 真实 性 的 必要 手 
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段 ， 它 包括 数字 搞 要 技术 、 数 字 签 名 技术 、 数 字 时 间 惟 技术、 数字 证 书 和 生物 识别 技 


术 等 。 
口 


(4) 


数字 摘要 就 是 采用 单 向 Hash 函数 将 任意 长 度 的 消息 “摘要 ”成 国定 长 度 的 (128 
位 ) 摘要 信息 串 。 不 同 的 输入 信息 产生 的 摘要 信息 必定 不 同 ， 而 相同 的 输入 信 
息 产 生 的 摘要 信息 必定 相同 。 数 字 摘 要 技术 可 以 保证 数据 的 完整 性 。 

数字 签名 是 指 以 电子 形式 存在 于 数据 信息 之 中 ， 或 作为 其 附件 ， 或 远 辑 上 与 之 
有 联系 的 数据 ， 用 来 辨别 数据 签署 人 的 身份 及 其 对 所 含 信息 的 认可 。 数 字 签 名 
技术 是 不 对 称 加 密 算 法 的 典型 应 用 ， 它 能 保证 信息 传输 的 完整 性 、 发 送 者 的 身 
份 认证 ， 防 止 交 易 中 的 抵赖 发 生 。 

数字 时 间 玲 是 服务 (Digital Time-stamp Service，DTS ) 是 由 DTS 服务 机 构 提供 
的 专门 用 于 证 明 信 息 发 送 时 间 的 电子 商务 安全 服务 项 目 。 数 字 时 间 戳 的 过 程 为 : 
用 户 首先 将 需要 加 时 间 蕉 的 文件 用 Hash 算法 形成 信息 摘要 并 发 送 到 DTS, DTS 
在 加 入 了 收 到 文件 信息 摘要 的 日 期 和 时 间 信 息 后 再 对 该 文件 进行 加 密 (数字 签 
名 )， 然 后 送 回 给 用 户 。 

数字 证 书 是 网 络 通信 中 标志 通信 各 方 身份 信息 的 一 系列 数据 ， 它 提供 了 一 种 在 
互联 网 上 验证 身份 的 方式 。 数 字 证 书 由 一 个 由 权威 机 构 一 CA (Certificate 
Authority ) 发 行 ， 它 绑 定 了 公 铀 及 其 持 有 者 的 真实 身份 ， 可 以 灵活 运用 在 电子 
商务 中 。 最 简单 的 证 书包 含 一 个 公开 密 钥 、 名 称 以 及 证 书 授权 中 心 的 数字 签名 。 
数字 证 书 具有 唯一 性 和 可 靠 性 特点 ， 而 且 可 以 存储 在 多 种 介质 上 。 

生物 识别 技术 主要 是 指 通过 人 类 生物 特征 进行 身份 认证 的 一 种 技术 ， 可 用 于 政 
府 、 银 行 、 电 子 商 务 、 安 全 防务 等 领域 。 现 阶段 ， 常 见 的 生物 识别 技术 有 指纹 
识别 、 手 掌 几 何 学 识别 、 虹 膜 识 别 、 视 网 膜 识 别 、 面 部 识别 、 签 名 识别 、 声 音 
识别 等 ， 其 中 指纹 识别 技术 已 广泛 运用 于 微型 支付 等 电子 商务 领域 。 
协议 层 技 术 


电子 商务 中 最 常见 的 安全 机 制 有 SSL 〈 安 全 套 接 层 协议 ) 及 SET (安全 电子 交易 协 
议 ) 两 种 。 

SSL 是 由 Netscape 开发 的 , 旨 在 为 网 络 通信 提供 安全 及 数据 完整 性 的 一 种 安全 协议 ， 
它 在 应 用 程序 进行 数据 交换 前 通过 交换 SSL 初始 握手 信息 来 实现 有 关 安 全 特性 的 审查 。 
SSL 协议 提供 的 服务 主要 有 : 认证 用 户 和 服务 器 ， 确 保 数 据 发 送 到 正确 的 客户 机 和 服务 
器 ; 加 密 数 据 以 防止 数据 中 途 被 窃取 ; 维护 数据 的 完整 性 ， 确 保 数据 在 传输 过 程 中 不 被 


自 改 。 但 


是 SSL 协议 仍 存在 一 些 问题 , 例如 只 能 提供 交易 中 客户 与 服务 器 间 的 双方 认证 ， 


在 涉及 多 方 的 电子 交易 中 ，SSL 协议 并 不 能 协调 各 方 间 的 安全 传输 和 信任 关系 。 为 了 实 
现 更 加 完善 的 即时 电子 支付 ，SET 协议 应 运 而 生 。 
SET 协议 是 由 美国 Visa 和 MasterCard 两 大 信用 卡 组 织 联 合 国际 上 多 家 科技 机 构 , 共 


否认 性 ， 


同 制定 的 应 用 于 互联 网 上 的 以 银行 卡 为 基础 进行 在 线 交 易 的 安全 标准 ， 它 采用 公 钥 密码 
体制 和 X.509 数字 证 书 标准 ， 主 要 应 用 于 保障 网 上 购物 信息 的 安全 性 。SET 协议 提供 了 
商家 、 消 费 者 和 银行 之 间 的 认证 ， 确 保 了 交易 数据 的 安全 性 、 完 整 可 靠 性 和 交易 的 不 可 


它 已 经 成 为 目前 公认 的 信用 卡 / 借 记 卡 的 网 上 交易 的 国际 安全 标准 。 
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@ -17:3;2 一 电子 支付 系统 安全 一 


1. 电子 支付 技术 


电子 支付 技术 必须 能 使 收 款 人 收 到 合法 支付 , 阻止 未 授权 支付 并 保护 参与 者 隐私 。 

(1) 联机 支付 与 脱 机 支付 

大 多 数 网 上 支付 系统 是 联机 支付 系统 ， 每 次 支付 中 包含 一 项 授权 服务 并 实时 更 新 支 
付 状态 ;但 是 ， 脱 机 支付 在 支付 过 程 中 不 牵涉 第 三 方 ， 只 涉及 付款 人 和 收获 人 ， 系 统 的 
本 地 状态 容易 被 付款 人 重新 设置 为 支付 前 的 状态 造成 透支 和 欺诈 。 

(2) 可 信赖 硬件 

为 了 防止 透支 ， 脱 机 支付 系统 付款 人 和 收 坎 人 需要 安装 抗 干扰 硬件 ， 由 一 个 可 以 信 
赖 的 保护 密 钥 和 执行 必要 操作 的 安全 智能 设备 〈 即 电子 钱包 ) 来 确保 安全 。 

(3) 密码 

安全 的 支付 系统 必须 采用 各 种 密码 安全 技术 ， 一 般 包 括 4 类 : 无 密码 系统 、 一 般 的 
支付 交换 设备 、 共 享 密 钥 密码 和 公开 密 钥 数字 签名 。 

(4) 付款 人 匿名 

付款 人 匿名 指 的 是 在 支付 时 不 使 用 支付 人 的 身份 ， 隐 藏 付款 人 与 收 款 人 之 间 的 信息 329 
流 ， 所 有 支付 系统 不 能 够 跟踪 。 

电子 支付 系统 与 其 他 安全 系统 一 样 ， 必 须 具 备 五 性 ， 即 授权 、 完 整 性 、 保 密 性 、 可 
用 性 和 可 靠 性 。 一 般 说 来 ， 电 子 支付 系统 的 特征 和 定义 决定 了 其 操作 上 的 安全 需求 。 


2. 授权 与 完整 性 


完整 性 支付 系统 要 求 用 户 必 须 在 授权 的 情况 才能 接触 进行 支付 ， 因 此 ， 授 权 就 是 支 
付 系 统 中 最 重要 的 环节 ， 它 一 般 有 3 种 方式 : 外 部 授权 、 口 令 和 签名 。 
口 外 部 授权 ” 指 的 是 授权 方 通过 一 个 安全 的 外 部 通道 ( 如 邮件 或 电话 ) 同意 或 否 


定 支 付 的 通用 方法 。 

口 口令 授权 ” 指 的 是 由 授权 方 和 检验 方 通过 密码 检查 值 作 为 口令 保护 的 交易 
方法 。 

口 数字 签名 ” 指 的 是 由 检验 方 要 求 授权 方 进行 数字 签名 并 且 提供 一 个 原始 的 非 拒 
绝 支付 证 据 的 方法 。 

3. 保密 性 


电子 支付 系统 的 保密 性 指 的 是 防止 泄露 有 关 交 易 的 所 有 信息 “如 付款 人 和 收 款 人 的 
标识 、 交 易 的 内 容 和 数量 等 )。 保 密 性 要 求 这 些 信 息 只 能 让 交易 的 参与 者 知道 ， 甚 至 只 能 
是 部 分 参与 者 知道 。 


4. 可 用 性 和 可 靠 性 
可 用 性 和 可 靠 性 一 般 通 过 可 靠 的 存储 器 和 专用 同步 协议 来 保证 基本 网 络 服务 和 软 硬 
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件 系统 足够 可 靠 并 且 可 恢复 故障 。 交 易 方 要 求 无 论 何 时 都 可 以 进行 支付 交易 而 且 是 完整 
发 生 的 ， 不 能 处 于 一 种 未 知 或 不 一 致 的 状态 ， 交 易 方 不 希望 网 络 或 系统 故障 导致 他 们 的 
损失 。 


@ - 17:3.3 生物 识别 安全 技术 


生物 识别 技术 主要 是 指 通过 人 类 生物 特征 进行 身份 认证 的 一 种 技术 ， 通 常 具 有 唯一 
的 、 可 测量 的 ， 可 自动 识别 和 验证 的 ， 具 有 遗传 性 或 终身 不 变 等 特点 。 生 物 识别 的 核心 
就 是 获取 生物 特征 并 转换 为 数字 信息 存储 分 析 , 利用 可 靠 的 匹配 算法 验证 识别 个 人 身份 。 

(1) 指纹 识别 : 是 所 有 生物 识别 技术 中 应 用 最 为 广泛 的 一 种 ， 由 于 其 价格 低廉 、 体 
积 较 小 及 容易 整合 ， 适 用 于 室内 安全 系统 特别 是 工作 站 安全 访问 系统 。 

(2) 手掌 几何 学 识别 : 是 通过 测量 使 用 者 手掌 的 物理 特征 进行 识别 并 进行 三 维 成 像 
的 方法 。 由 于 其 性 能 好 、 使 用 方便 、 准 确 性 非常 高 及 调整 灵活 ， 适 用 于 用 户 人 数 比 较 多 
的 场合 。 

(3) 声音 识别 : 是 通过 分 析 使 用 者 声音 物理 特性 进行 识别 的 技术 。 由 于 传感器 和 人 
的 声音 可 变性 很 大 、 使 用 步骤 复杂 、 在 某 些 场合 使 用 不 方便 等 原因 ,应 用 范围 相对 受 限 。 

(4) 视网膜 识别 : 是 使 用 光学 设备 发 出 的 低 强 度 光 源 扫 描 视 网 膜 特 征 的 识别 方法 。 
由 于 精度 要 求 高 以 及 用 户 接受 程度 低 等 原因 ， 目 前 仍然 没有 成 为 主流 的 生物 识别 产品 。 

(5) 虹膜 识别 : 是 生物 识别 中 对 人 的 干扰 较 少 的 技术 。 由 于 其 无 须 与 用 户 接触 并 且 
存在 更 高 的 模板 匹配 性 ， 虹 膜 扫描 设备 的 简便 性 和 系统 集成 方面 优势 进一步 有 竺 提升 。 

(6) 签名 识别 : 是 一 种 相当 准确 并 且 可 被 接受 的 识别 符 ， 但 相对 来 说 ， 这 类 产品 目 
前 数量 很 少 。 

(7) 面部 识别 : 是 一 种 价值 很 高 的 技术 ， 在 比较 两 个 静态 图 像 的 基础 上 ， 动 态 的 发 
现 和 确认 某 个 人 的 身份 而 不 引起 注意 ， 是 目前 比较 期 待 的 重要 的 生物 识别 方法 ， 但 实际 
应 用 中 还 很 少 成 功 。 

(8.) 基因 识别 : 基因 是 代表 个 人 遗传 特性 、 独 一 无 二 、 永 不 改变 的 指 征 ， 因 此 ， 基 
因 识 别 是 一 种 高 级 的 生物 识别 技术 ， 但 由 于 不 能 做 到 实时 取样 和 迅速 鉴定 ， 限 制 了 其 广 
泛 应 用 。 

(9) 静脉 识别 : 是 一 种 利用 近 红 外 线 读 取 个 人 的 静脉 模式 ， 并 与 预先 存储 的 静脉 模 
式 进 行 比较 从 而 进行 的 本 人 识别 。 

(10) 步 态 识别 : 是 利用 摄像 头 采集 人 体 行 走 过 程 的 图 像 序列 ， 进 行 处 理 后 与 存储 的 
数据 进行 比较 识别 身份 的 技术 。 一 般 用 于 实现 远 距 离 的 身份 识别 和 主动 防御 中 。 

现 阶 段 中 国 巨 大 的 人 口 基数 及 其 越 来 越 频繁 的 流动 性 ， 需 要 静态 或 动态 的 对 身份 进 
行 识别 管理 和 控制 ， 频 繁 的 身份 认证 需求 ， 特 别 是 在 电子 商务 和 电子 政务 中 演变 和 普及 
生物 识别 技术 ， 是 现 阶 段 可 预见 的 最 佳 解决 方案 。 因 此 ， 目 前 生物 识别 技术 主要 有 三 大 
应 用 方向 。 

51) 作为 刑侦 鉴定 的 重要 手段 。 

(2) 满足 企业 安全 管理 需求 。 

(3) 自助 式 政府 服务 、 出 入 境 管 理 ， 金 融 服 务 、 电 子 商 务 ， 信 息 安 全 (个 人 隐私 
保护 )。 
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2 Web 服务 安全 技术 


Web 服务 技术 是 最 近 几 年 迅速 兴起 的 一 种 应 用 集成 技术 , 是 一 个 峙 新 的 分 布 式 计算 
模型 ,一 经 推出 就 以 它 的 松 看 合 性 、 跨 平台 性 和 交互 性 受到 众多 企业 的 支持 。 而 Web 服 
务 的 这 些 特性 也 引出 了 一 些 安全 问题 ， 制 约 了 它 的 应 用 和 推广 发 展 。 


®@--17.4:1 Web 服务 概述 > 

(1) Web 服务 架构 

Web 服务 是 一 系列 标准 和 正在 发 展 中 的 标准 ， 它 们 是 由 Worldwide Web Consortium 
CW3C) 设计 和 指定 的 ， 用 来 促进 跨 平台 的 程序 和 程序 之 间 的 通信 。 图 17-1 描述 了 Web 
服务 的 基本 架构 。 

该 架构 由 3 个 参与 者 和 3 个 基本 操作 构成 。3 个 参与 者 分 别 是 服务 提供 者 、 服 务 请 
求 者 和 服务 代理 ， 而 3 个 基本 操作 分 别 是 发 布 (publish)、 查 找 〈find) 和 绑 定 (bind)。 
服务 提供 者 将 服务 发 布 到 服务 代理 的 一 个 目录 上 ; 当 服 务 请 求 者 需要 调用 该 服务 时 ， 他 
首先 利用 服务 代理 提供 的 目录 去 搜索 该 服务 ， 得 到 如 何 调用 该 服务 的 信息 ; 然后 根据 这 
些 信息 去 调用 服务 提供 者 发 布 的 服务 。 当 服务 请 求 者 从 服务 代理 得 到 调用 所 需 服 务 的 信 
息 之 后 ， 通 信和 是 在 服务 请 求 者 和 提供 者 之 间 直 接 进行 ， 而 无 须 经 过 服务 代理 。 

(2) Web 协议 体系 概述 

Web 服务 体系 使 用 一 系列 标准 和 协议 实现 相关 的 功能 。Web 服务 的 协议 层次 如 图 
17-2 所 示 。 


统一 描述 ， 发 现 和 集成 协议 (UDDI) 
> Web 服 务 描述 语言 (WSDL) 
2 Re 简单 对 象 访问 协议 (SOAP) 
服务 代理 查找 服务 请 求 者 扩展 标准 语言 (XML) 
17-1 Web 服务 架构 图 17-2 Web 服务 协议 层次 


XML (Extensible Markup Language， 可 扩展 标记 语言 );: XML 是 由 W3C 创建 的 一 
种 基于 文本 的 规范 标记 语言 ， 是 Web 服务 平台 中 表示 数据 的 基本 格式 。 其 特点 是 : 易于 
理解 ， 跨 平台 性 ， 结 构 松 散 耦 合 ， 互 操作 性 强 。 

SOAP (Simple Object Access Protocol, 简单 对 象 访问 协议 ): SOAP 为 在 一 个 松散 的 、 
分 布 的 环境 中 使 用 XML 对 等 地 交换 结构 化 信息 提供 了 一 个 简单 的 轻 量 级 机 制 .SOAP 的 
目的 是 为 了 使 分 布 于 网 上 的 各 系统 之 间 能 够 进行 数据 传输 。 
WSDL (Web Services Description Language，Web 服务 描述 语言 );; WSDL 提供 了 一 
个 基于 XML 的 简单 语汇 表 ， 将 Web 服务 描述 为 能 够 进行 消息 交换 的 服务 访问 点 集合 ， 
用 来 描述 通过 网 络 提供 的 基于 XML 的 Web 服务 。 


332 


信息 安全 技术 教程 


UDDI (Universal Description, Discovery and Integration 统一 描述 、 发 现 和 集成 协议 ): 
UDDI 是 一 套 基 于 Web 的 、 分 布 式 的 、 面向 Web 服务 的 信息 注册 中 心 的 实现 标准 规范 ， 
它 定义 了 Web 服务 的 发 布 和 发 现 的 方法 。 


@ --17.4.2” Web 服务 安全 、 


7 


1. 传统 Web 安全 技术 


传统 的 Web 安全 技术 主要 集中 于 对 网 络 连接 和 传输 层 的 保护 。 通 常 有 安全 套 接 字 
层 (SSL)、IP 安全 协议 (IPSec)、 防 火 墙 规则 以 及 虚拟 专用 网 (VPN) 等 。 其 中 IPSec 过 
滤 策 略 和 防火 墙 规则 限制 已 知 卫 对 服务 的 访问 ， 可 有 效 地 保证 数据 完整 性 。 但 是 根据 策 
略 和 规则 的 设置 , 它 只 能 放行 或 者 过 滤 掉 所 有 的 SOAP 消息 , 却 无 法 检测 SOAP 消息 的 
安全 性 。 

SSL 是 广泛 作业 于 HTTP 的 安全 技术 。SSL 保护 客户 与 服务 器 之 间 的 通信 通道 ， 
它 支 持 客户 与 服务 器 的 认证 ， 提 供 了 数据 完整 性 、 数 据 机 密 性 和 点 到 点 的 安全 会 话 。 但 
采用 SSL 却 存在 一 些 问题 。 首 先 ，SSL 只 能 保证 两 点 之 间 的 一 个 连接 ， 无 法 保证 端 对 端 
的 数据 完整 性 、 机 密 性 。 在 多 跳 通 信 情 况 下 ，SSL 要 求 消息 在 每 个 跳 之 间 加 密 解密 ， 这 
不 仅 影 响 了 性 能 , 还 可 能 损害 消息 的 安全 。 其次, SSL 没有 为 安全 应 用 提供 足够 的 粒度 。 
SSL 只 能 对 整个 文档 进行 加 密 ， 因 此 会 严重 影响 性 能 。 另 外 ，SSL 还 局 限于 传输 协议 ， 
这 意味 着 如 果 Web 服务 使 用 一 个 不 同 传输 协议 时 ，SSL 就 不 起 作用 了 。 

由 此 可 见 ， 传 统 安全 技术 无 法 完全 满足 Web 服务 的 端 到 端 安全 、 选 择 性 保护 等 新 
的 安全 需求 。Web 服务 通信 安全 需要 在 应 用 层 有 效 地 保证 SOAP 协议 在 交换 过 程 中 消 
息 的 完整 性 与 机 密 性 ， 实 现 细 粒 度 的 消息 保护 。 


2. 目前 Web 服务 安全 的 关键 技术 


目前 Web 服务 中 采用 的 安全 技术 主要 有 以 下 几 种 : @ 在 客户 端 建立 用 户 信任 机 制 ， 
执行 服务 时 将 相应 的 认证 信息 导入 服务 器 ; @ 在 SOAP 消息 头 中 加 入 针对 特定 应 用 的 安 
全 表示 (token)， 则 可 从 中 提取 认证 、 信 任 信 息 ; @ 在 某 个 特定 的 应 用 领域 内 ， 对 服务 
提供 者 的 内 部 敏感 数据 进行 加 密 ， 当 其 收 到 服务 请 求 后 直接 在 加 密 了 的 数据 上 进行 相应 
的 计算 和 人 处理， 计算 结果 解密 后 返回 给 服务 请 求 者 ，@ 服 务 请 求 者 需要 提交 必要 的 输入 
数据 ， 并 且 每 次 仅 提 交 一 个 输入 数据 块 ， 返 回 的 结果 对 应 于 该 请 求 ， 经 过 多 次 服务 请 求 
后 ,由 服务 请 求 者 进行 各 次 服务 执行 结果 的 集成 ,从 一 定 程度 上 保证 了 客户 信息 的 安全 。 

为 了 保证 Web 安全 ， 一 些 安全 规范 被 建立 并 引入 到 Web 安全 领域 中 。 

(1) XML 签名 规范 

XML 签名 (XML Signature) 是 IETF 和 W3C 工作 组 联合 提出 的 规范 。XML 签名 
的 功能 在 于 它 既 可 以 提供 数据 的 完整 性 〈Integrity)， 又 具有 鉴别 性 Authentication) 和 
不 可 抵赖 性 (Nonrepadiatability)， 对 于 保障 使 用 计算 机 及 网 络 完全 有 着 其 他 办 法 不 可 替 
代 的 作用 。 在 XML 签名 中 ， 签 名 通过 间接 方式 应 用 到 数字 内 容 上 ， 要 签署 的 内 容 首先 
将 进行 摘要 并 被 放置 在 一 个 XML 元 素 中 ， 随 后 对 元 素 进行 摘要 并 秘密 将 其 签署 ， 签 名 
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应 用 于 这 个 摘要 。 由 于 摘要 通常 会 比 原始 数据 小 ， 所 以 使 用 它 可 以 缩减 加 密 和 签署 数据 
时 所 需 的 时 间 ， 而 这 个 缩减 可 以 使 数据 的 传输 和 存储 更 为 有 效 。XML 签名 的 结构 如 下 : 


<Signature id?> 
<SignedInfo> 

(<! 一 规范 化 法 则 的 URI--> 
<CanonicalizationMethod> 
(! 一 数字 签名 算法 一 > 
<SignatureMethod/> 
<Reference/>+ 
</SignedInfo>) 
<SignatureValuet> 

<! 一 签署 公 钥 或 CR--> 
<KeyInfo/> 
</Signature> 


其 中 , <SignedInfo>, 是 XML 签名 的 根 元 素 , 它 封装 了 签名 数据 ; <CanonicationMethod>， 
表示 在 进行 摘要 之 前 对 <SignedInfo> 元 素 进行 规范 化 的 算法 ; <SignatureMethod>， 指 定 
将 规范 化 后 的 <SignedInfo> 进 行 签 名 成 为 <SignatureValue> 的 算法 。 它 由 摘要 算法 、 密 钥 
相关 的 算法 和 一 些 其 他 算法 组 成 ，<Reference>， 用 于 描述 签名 对 象 相关 的 信息 ， 包 含 用 
来 计算 摘要 的 算法 、 计 算 后 的 摘要 值 等 ，<SignatureValue>， 是 签名 处 理 后 确切 包含 的 签 
名 值 ; <KeyInfo>， 表 示 用 于 验证 签名 的 密 钥 。 其 标识 可 以 包括 证 书 、 密 钥 名 称 和 密 钥 协 
议 算法 。 

与 传统 数字 签名 相 比 ，XML 签名 在 处 理 XML 文档 签名 时 ， 表 现 出 强大 的 功能 和 技 
术 优势 。 首 先 ，XML 签名 结果 保持 XML 文档 的 结构 性 ， 便 于 数字 签名 的 存储 和 管理 。 
其 次 ，XML 数字 签名 借鉴 了 Internet 资源 的 URI 建 模 思想 ， 对 待 签名 数据 也 用 URI 建 
模 。URI 可 以 引用 任意 数据 类 型 的 文档 ， 也 无 论 是 远程 文档 还 是 本 地 文档 ， 甚 至 还 可 以 
引用 XML 文档 的 任意 元 素 。 因 此 利用 URI 不 仅 可 以 对 整个 XML 文档 签名 ， 而 且 可 以 
对 XML 文档 的 任意 元 素 签名 ， 实 现 传统 数字 签名 无 法 做 到 的 细 粒 度 签名 。 另 外 ， 签 名 
密 钥 表示 形式 的 语义 清晰 、 易 读 、 友 好 ， 提 高 了 签名 的 可 移植 性 和 自动 验证 能 力 。XML 
签名 的 缺点 是 XML 签名 未 能 提供 一 个 标准 的 编程 API 或 者 用 于 处 理 签 名 的 Web 服务 模 
型 ， 这 使 得 应 用 程序 的 代码 依赖 于 专用 的 供应 商 API， 从 而 消减 了 应 用 程序 的 可 移植 性 。 
并 且 ， 在 安全 考虑 因素 中 ， 通 过 转化 可 能 会 引入 安全 漏洞 ， 从 而 使 签名 的 有 效 性 受 损 。 

(2) XML 加 密 规范 

XML 加 密 〈XML-Encryption) 是 一 个 W3C 的 推荐 标准 ， 该 规范 是 为 数据 保密 性 而 
定 的 ， 它 定义 了 在 XML 文档 中 加 密 和 解密 所 选 元 素 的 语义 和 处 理 规则 。XML 加 密 并 不 
是 一 种 新 的 加 密 算法 ， 以 前 的 任何 一 种 加 密 算 法 都 可 以 用 在 XML 加 密 中 。XML 加 密 的 
结果 就 是 <EncrytedData> 元 素 ，EncrytedData 元 素 是 XML 加 密 中 使 用 的 主要 语法 组 件 ， 
其 他 所 有 XML 加 密 元 素 都 是 其 子 元 素 。XML 加 密 的 结构 如 下 : 

<EncryptedData Id? Type?> 


<!-- 加 密 算 法 的 URI--> 
<EncryptionMethod/>? 
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<!-- 密 钥 信息 --> 
<KeyInfo/> 

<! 一 加 密 的 数据 内 容 一 > 
<CipherData> 
<CipherValue/> 
</CipherData> 
<EncryptionProperties/>? 
</EncryptedData> 


其 中 ，<EncryptedData> 元 素 是 加 密 数据 和 解密 所 需 相 关 信息 的 最 外 层 元 素 。 
<KeyInfo> 元 素 是 <EncryptedData> 的 子 元 素 ， 提 供用 于 加 密 和 解密 数据 的 对 称 会 话 密 钥 。 
<CipherData> 元 素 是 <EncryptedData> 的 必要 子 元 素 ， 包 含 或 引用 实际 的 加 密 数 据 。XML 
加 密 提 供 了 SSL 未 涉及 到 的 两 个 重要 领域 : 加 密 部 分 文档 、 实 现 端 对 端的 安全 。 直 接 对 
文档 加 密 ， 最 大 问题 就 是 加 密 的 粒度 太 大 ， 这 种 方法 在 一 些 特殊 情况 下 ， 不 能 满足 要 求 
并 且 影响 效率 。 

XML 加 密 规 范 对 加 密 的 粒度 进行 了 分 类 ， 可 以 加 密 整 个 文档 或 者 文档 的 一 个 元 素 ， 
实现 了 对 文档 的 部 分 进行 加 密 、 以 及 实现 传输 层 以 外 的 安全 。XML 加 密 的 另 一 优势 在 于 
加 密 后 的 数据 以 XML 格式 表示 , 并 且 可 以 作为 独立 的 XML 文档 而 存在 ， 因此 便于 存储 
和 管理 。XML 加 密 缺 点 是 : 加密 的 语法 和 处 理 模型 非常 复杂 ， 将 加 密 后 的 XML 片段 插 
入 到 另 一 个 上 下 文中 时 也 会 出 现 ID 冲突 等 问题 ,并 且 XML 加 密 对 解决 某 些 安全 问题 的 
能 力 还 有 一 定 限 制 ， 而 与 XML 签名 结合 也 可 能 会 引发 新 的 安全 问题 ， 例 如 常见 的 明文 
推测 攻击 、 拒 绝 服务 攻击 等 。 

SAML (Security Assertion Markup Language， 安 全 断言 标记 语言 ) 是 一 个 OASIS 标 
准 ， 它 定义 了 以 XML 格式 交换 安全 信息 的 框架 ， 如 图 17-3 所 示 。 


信用 证 身份 验 属性 策略 
采集 “| “| 证 权限 权限 判定 点 
| 十 过 
SAM i 
= 1 
授权 断言 属性 断言 人 
系统 实体 应 用 请 求 策略 执行 


17-3 ”SAML 框架 示意 


安全 信息 包括 验证 设备 、 授 权 决 策 和 主题 属性 ， 都 以 称 为 “断言 ”的 XML 结构 进 
行 描述 ， 断 言 有 SAML 权威 部 门 发 放 。SAML 规范 也 定义 交换 断言 的 协议 、 传 输 绑 定 
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和 使 用 方案 ， 它 无 颖 地 映射 到 SOAP 传输 。 

(3) WS-Security 规范 

WS-Security 规范 是 IJBM Microsoft 和 VerSign 公司 共同 提出 的 一 个 协议 规范 。XML 
签名 和 加 密 以 及 SAML 等 不 是 直接 解决 Web 服务 安全 性 的 方法 ，WS-Security 解释 了 如 
何 将 这 些 技术 应 用 到 Web 服务 安全 中 。WS-Security 定义 了 在 SOAP 消息 中 如 何 包 括 安 
全 令 牌 ， 以 及 如 何 使 用 XML 安全 规范 来 加 密 和 签名 这 些 令 牌 ， 同 时 也 定义 了 如 何 使 用 
它们 来 对 SOAP 消息 的 其 他 部 分 进行 签名 和 加 密 ， 即 定义 了 将 令 牌 封装 到 SOAP 消息 中 
的 XML 元 素 和 属性 ， 以 及 将 XML 签名 和 XML 加 密封 装 到 SOAP 中 的 方法 。 

除 以 上 这 些 安全 规范 外 ， 还 有 一 些 安全 技术 被 用 来 保证 Web 服务 的 安全 。 例 如 ， 
XACML (XML Access Control Markup Language) 是 一 个 OASIS 标准 ， 定 义 了 一 个 通用 
的 授权 框架 和 以 XML 格式 表示 、 交 换 访问 控制 策略 信息 的 结构 。PKI (Public Key 
Infrastructure， 公 钥 基 础 设施 ) 为 Web 服务 安全 的 最 底层 ， 它 通过 XKMS (XML Key 
Management Specification ) 协议 为 Web 服务 提供 了 基础 的 XML 公 钥 系统 PKI, 即 XKMS 
是 给 PKI 提供 接口 的 web 服务 , 为 Web 服务 安全 体系 中 的 所 有 对 象 提供 了 可 信 的 安全 
基础 环境 。 
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列 哪 一 项 ? 《 ) 


一 、 选 择 题 
A. 发 布 (publish) B. 绑 定 (bind) 
1. 目前 Web 服务 安全 的 关键 技术 有 WS- C. 请 求 (request) D. 查找 (find) 
Security 规范 、XML 签名 规范 、XML 加 密 规范 二 、 问 答题 
以 及 下 列 哪 一 项 ? (  ) 
A. SAML B. SOAP 1. 简 述 电子 商务 安全 策略 及 对 策 。 
C. XKMS D. OASIS 2. 简 述 数 据 库 安全 技术 的 概念 及 安全 体系 。 
2. Web 服务 架构 的 3 个 基本 操作 不 包括 下 3. 思考 如 何 实现 Web 安全 策略 。 
| 4 
课 后 实践 与 思考 
电子 商务 安全 技术 实例 
(1) 登录 中 国 数字 认证 网 www.ca365.com， 申 请 一 个 免费 的 个 人 数字 证 书 并 安装 在 
计算 机 上 。 


口 下 载 根 证 书 并 安装 。 

口 申请 个 人 数字 证 书 并 安装 。 

口 查看 所 安装 的 数字 证 书包 含 的 内 容 。 

(2) 将 申请 的 个 人 数字 证 书 导出 到 一 个 文件 中 (同时 导出 私 钥 )， 并 重新 再 次 导入 并 
安装 。 
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(3) 登录 Www.myca.cn。 


数字 证 书 在 线 入 码 /解码 在线 签名 /加 必 助 说 明 指 蒜 


首页 注册 PhAIL 证 书 注册 实名 证 书 。 获取 证 书 查找 证 书 吊销 证 书 。 “安装 根 证 书 。 下 载 根 证 书 


注册 EMAIL 证 书 


选择 此 选项 可 以 为 用 户 注册 一 个 EILAIL 数 宇 证 书 ， 此 证 书 使 用 电子 邮件 的 方式 认证 。 


注册 实名 证 书 


选择 此 选项 可 以 为 用 户 注册 一 个 实名 认证 的 数 宇 证 书 ， 此 证 书 使 用 身份 证 与 电子 邮件 结合 的 方式 认证 。 


获取 证 书 


如 果 您 已 经 注册 了 数字 证 书 ， 但 是 还 没有 获取 ， 请 选择 该 选项 。 


查找 


选择 此 选项 可 以 查找 一 个 数字 证 书 ， 这 项 功能 有 助 于 确定 一 个 数字 证 书 是 否 有 效 、 过 期 或 已 经 被 吊销 。 您 
也 可 以 从 此 选项 下 载 数字 证 书 。 


吊销 


选择 这 个 选项 可 以 吊销 您 的 数字 证 书 。 如 果 怀疑 数字 证 书 受到 危害 ， 则 应 立即 将 它 吊销 。 这 些 危害 包括 私 
钼 丢失 惑 被 均 、 密 钥 对 被 破坏 、 所 有 权 变更 ， 以 及 可 疑 的 欺 怠 行 为 。 


整个 操作 过 程 如 下 面 的 图 片 所 示 。 
1. 下 载 根 证 书 并 安装 


下 载 MyCA 根 证 书 


1. 根 证 书 WyCAroot. crt 

2. 中 间 证 书 一 MyCA1. ert 
3. 中 间 证 书 二 MyCA2. ert 
4. 中 间 证 书 三 NyCA3. crt 
5. 中 间 证 书 四 WyCA4. crt 
6. 中 间 证 书 五 NyCAS. ert 


17-4 下 载 MyCA 根 证 书 


使 用 NyCA 

加 果 悠 还 没 安装 HiyChA 的 根 证 书 ,请 先 安装 
和 根 证 书 ,以 保证 您 正常 的 使 用 HyCA 的 服务 。 

如 果 烽 想 使 用 lyCA 为 您 提供 的 安全 服务 ， 
请 注册 申请 一 张 专属 于 您 的 CA 证 书 ,NyCA 提 供 
的 CA 证 书 可 以 用 于 客户 端 验证 、 安 全 电子 邮 . 
忻 ,并且 没有 使 用 时 间 的 限制 ， 如 你 要 申请 用 
于 其 地 用 途 的 CA 还 书 ,请 联系 llyCA 
(infoBmyca cn) 


关于 WycA 

MyCA 提 供 的 证 书 服务 是 试用 、 学 习性 质 的 
CA 服务 。 

我 们 不 保证 也 不 验证 CA 证 书 持 有 者 的 真实 
身份 ,请 修 自行 验证 

我 们 也 不 保证 WlyCA 的 绝对 安全 及 永久 存 
在 ,但 我 们 会 尽 我 们 之 能 力 为 您 提供 安全 、 粮 
定 的 CA 服务 ， 
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颁发 给 : 。 CA 


颁发 者 : MyCA 


有 效 起 始 日 期 2005-1-!1 到 2032-5-18 


rootBnyca cn CA， 杭 
2005 年 1 月 1 日 15;09: 
2032 年 5 月 8 日 15:09:39 
rootBnyca cn， 有 CA 杭 


nos nn ns 
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ECE x| 


次 迎 使 用 证 所 导入 向 导 
这 个 向 导 帮 助 您 将 证 书 、 证 书信 企 列表 和 证 书 吊销 列 
表 从 珊 盘 复 钉 画 证 书 存储 区 。 


由 证 书 需 发 机 构 颁 发 的 证 书 是 确认 您 的 身份 的 文件 ， 
它 含有 用 来 保护 数据 或 建立 安全 网 络 连接 的 信息 。 证 
书 存 储 是 保存 证 书 的 系统 区 域 。 


要 继续 ， 请 单 击 " 下 一 步 "。 


上 一 步 8) | 下 一 步 另 >| 取消 | 


证 书 导 入 向 导 x| 


证 书 存储 
评书 存储 区 是 保存 评书 的 系统 区 域 。 


Windows 可 以 自动 洗 树 评书 存储 区 ， 或 者 你 可 以 为 评书 模 宗 一 个 位 置 。 
人 根据 证 书 类 型 ， 自 动 选 择 证 书 存储 区 QW) 
个 将 所 有 的 证 书 放 入 下 列 存 储 区 E) 


证 书 存 楼 


{ey 


《上 一 步 @) | 下 一 步 中 > 取消 


FETCE EE 可 
正在 完成 证 书 导 入 向 导 
您 已 成 功 地 完成 证 书 导入 向 导 。 
您 已 指定 下 列 设 置 : 


《 上 一 步 @) 完成 取消 
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.申请 个 人 数字 证 书 并 安装 


注册 通过 电子 邮件 认证 的 数字 证 书 


中 :并 向 公众 公开 。 有“*” 标 记 的 字段 为 必 填 字段 。 
sa: 
mmail: [545525654eaqcm 
国家 : [Chm 一 一 一 二 ] 


辨识 码 
这 个 唯一 的 验证 口令 保护 您 的 证 书 , 避免 没有 被 授权 的 操作 ， 它 不 能 与 其 他人 共享 。 不 要 丢失 4 在 证 书 
吊销 和 更 新 时 需要 它 。 


可 选项 : 选择 您 的 加 密 服 务 
由 基本 加 密 提供 者 提供 了 512 位 的 密 胃 ,对 于 大 多 数 人 来 说 , 已 经 足够 了 ， 但 是 ， 如 果 您 的 浏览 器 提供 
ee 你 可 以 使 用 更 高 的 加 密 强 度 。 加 果 悠 使 用 智能 卡 等 加 密 设备 , 请 按照 生产 者 的 指导 进行 操 


和 所 作 的 加 志 [orosoft Base Cryptoaraphic Provider wi.0 可 


密 钥 长 度 : |512 
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发 件 人 : MyCA <free@myca.cn> 国 
时 间 : 2011 年 12 月 2 日 (星期 五 ) 上 午 9:07 
收 件 人 : 843525694@qq,com <843525694@qq.com> 


尊敬 的 区 娟 先生 /女士 ， 

您 的 管理 员 已 经 批准 了 您 的 数字 证 书 申请 。 

要 确保 其 他 人 不 能 够 获取 包含 您 个 人 信息 的 数字 证 书 ， 

您 必须 使 用 唯一 的 身份 识别 码 〈〔PIN) 在 十 五 日 内 从 安全 的 Web 站 点 上 取 回 您 的 数字 证 书 。 
您 可 以 通过 下 面 几 个 步骤 来 取 回 您 的 数字 证 书 : 


步骤 1; 访问 数字 证 书 获取 web 页 面 。 
如 果 您 的 管理 员 为 获取 证 书页 面 定制 了 一 个 位 置 ， 那 您 就 应 该 访问 您 的 管理 员 指定 的 站 点 连接。 
否则 ， 您 可 以 从 下 面 的 站 点 获取 您 的 证 书 ， 


http://www.myca.cn/myca/mspickup.asp 


步骤 2; 在 表格 中 ， 输 入 您 的 身份 识别 码 ， 
您 的 身份 识别 码 是 : 39ccbd1462899001b4517b26c7447902200118062 
步骤 3; 按照 页 面 中 的 指示 来 完成 您 的 数字 证 书 安装 。 

获取 证 书 

重要 提示 : 这 一 步 必须 用 与 注册 时 相同 的 计算 机 (或 号 ey) 来 完成 。 


输入 身份 识别 码 C PIH] : 
PIN 在 管理 员 发 给 您 的 确认 电子 邮件 中 列 出 。 


[Esccbal462899001b4517b26c74479022001 18062 


安装 证 书 成 功 ! 
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3. 查看 你 所 安装 的 数字 证 书包 含 的 内 容 
查找 结果 


本 次 查询 找到 了 以 下 符合 条 件 的 数字 证 书 。 


甘 恕 有效) 

843525694@qq_ com 

MyCA 个 人 免费 证 书 

有 效 期 从 2011-12-2 9:07:27 至 2021-11-29 9:07:27 


单 击 “ 工 具 ” 一 “Intemet 选项 ”命令 ， 单 击 安装 的 证 书 ， 单 击 “ 导 出 ”按钮 。 


颁发 者 : MyCA (Fersonal Free Certificate) 


有 效 起 始 日 期 2011-12-2 到 2021-11-29 


Db ed Bf 2e 


shalRSA 
freenyca cn, NyCA (Per... 
2011 年 12 月 2 日 9:07:46 
2021 年 11 月 29 日 9:07:46 
获 娟 ，843525694@qq. com, ... 国 
ne Aso nm 
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EGR ?1x| 
常规 “| 详细 信息 证 书 路 径 | 
三 证书 路 径 @) 
NyCA 
NyCA (Personal Free Certificate) 
革 娟 


查看 证 和 QW) 


证 书 状 太 (S); 

| ”| 
— We | 

4. 将 申请 的 个 人 数字 证 书 导出 到 一 个 文件 中 (同时 导出 私 钥 ) 


到 
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欢迎 使 用 证 书 导 出 向 导 
这 个 向 导 帮 助 您 从 证 书 存储 区 将 证 书 、 证 书信 任 列 
表 和 证 书 吊 销 列表 复制 如 赂 盘 。 
由 证 书 颇 发 机 构 颁 发 的 证 书 是 确认 您 的 身份 的 文件 ， 
它 含 有 用 来 保护 数据 或 建立 窑 全 网 络 连 接 的 信息 。 证 
书 存 储 是 保存 证 书 的 系统 区 域 , 


要 鱼 续 ， 请 单 击 " 下 一 步 ". 


上 - 步 B)| 下 一 步 WD >| 取消 


证 书 导出 向 导 xl 


导出 秘 钥 
众 本 以 先 树 将 私 钥 跟 证 书 一 起 导出 。 


ee 如 果 要 将 私 钥 跟 证 书 一 起 导出 ， 您 必须 在 后 面 一 页 上 键入 窗 


要 格 私 钥 跟 证 书 一 扎 导出 吧 ? 
他 是 ， 导 出 私 钥 OO) 
个 不 ， 不 要 导出 私 铀 四 ) 


《上 一 步 @) | 下 一 步 中 > 取消 
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划 
正在 完成 证 书 导 出 向 导 
您 已 成 功 地 完成 证 书 导出 向 导 。 
您 已 指定 下 列 设置 


四 \Docunents and Set 


导出 密 钥 是 
包括 证 书 路 径 中 所 有 证 书 再 
文件 格式 个 人 信息 变换 tt. pfx) 


导出 成 功 。 


CITEI 


5. 重新 再 次 导入 并 安装 〈 提 示 : 注意 做 好 备份 ) 


证 书 导入 向 导 EE x| 
欢迎 使 用 证 书 导入 向 导 
1 这 个 向 导 帮 助 您 将 证 书 、 证 书信 任 列表 和 证 书 吊销 列 
表 从 磁盘 复 箱 名 | 证 书 存储 区 。 


由 证 书 颂 发 机 构 颁 发 的 证 书 是 确认 悠 的 身份 的 芯 件 ， 
它 含有 用 来 保护 数据 或 建立 实 全 网 络 连接 的 信息 。 证 
书 存储 是 保存 证 书 的 系统 区 域 。 


要 继续 ， 诸 单 击 "下 一 步 "。 


《< 上 一 步 @@) | 下 -和 步 如 ) >| 取消 


应 用 开发 安全 技术 


Documents and SettnosVadministrator 点 面 \Oongjuan pg 浏览 @) | 
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正在 完成 证 书 导入 向 导 


您 已 成 功 地 完成 证 书 导入 向 导 。 


PFY 
C:\Docunents and Settings\Admi 
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。 理解 最 小 特权 原则 的 实施 与 重要 性 

。 利用 深度 防御 策略 来 设计 一 个 行 之 有 效 的 周边 防御 方法 

。 为 一 个 组 织 或 企业 编写 并 执行 具体 的 安全 策略 

。 利用 通用 安全 管理 工具 来 减轻 执行 安全 策略 的 繁琐 

。 理解 通过 其 他 技术 措施 整合 人 员 与 物理 安全 的 意义 

信息 安全 是 一 项 困难 而 又 不 被 关注 的 任务 一 一 保护 组 织 的 数据 安全 。 一 般 来 说 ， 很 
少 会 有 一 个 标准 去 评判 这 项 任务 是 否 是 成 功 的， 但 如 果 失 败 了 ， 结 果 往往 可 以 显而易见 
的 。 设 计 具 体 的 安全 程序 是 一 项 复杂 的 任务 ， 需 要 平衡 用 户 的 合法 需求 的 保密 性 、 完 整 
性 和 可 用 性 。 幸 运 的 是 ， 安 全 专家 们 有 着 可 以 利用 的 “财富 ”， 这 些 财富 就 是 早期 安全 专 
家 建立 的 ， 并 在 一 个 知识 体系 内 不 断 发 展 的 安全 实践 。 这 些 实践 中 有 很 多 甚至 早 于 计算 
机 的 发 展 。 本 章 将 介绍 几 个 常见 的 安全 实践 ， 这 些 实践 的 适用 范围 小 到 家 庭 网 站 ， 大 到 
政府 系统 。 而 在 安全 实践 之 中 ， 防 火 墙 、 入 侵 检测 、 访 问 控制 等 安全 措施 都 不 是 信息 安 
全 “ 包 治 百 病 的 灵丹妙药 ”。 这 些 技术 只 有 适当 地 用 于 安全 实践 中 才能 成 为 一 个 完整 的 信 
息 安全 系统 。 


18.0 通用 安全 原则 


信息 安全 不 是 一 个 崭新 的 概念 ， 尽 管 其 在 最 近 数 十 年 内 才 引 起 社会 的 极 大 关注 ， 但 
信息 安全 实践 所 使 用 的 理念 和 策略 都 有 着 数 百年 的 历史 。 从 古 至 今 ， 所 有 类 型 的 组 织 
要 在 竞争 的 环境 中 保守 他 们 的 秘密 。 将 军 不 希望 作战 计划 被 敌人 发 现 ; 投资 专家 不 希望 
他 们 的 交易 行为 的 秘密 被 公众 获知 ; 消费 品 厂商 不 希望 产品 的 配料 或 产品 制作 的 诀 穿 被 
其 竞争 对 手 获 知 。 所 有 的 这 一 切 ， 组 织 都 会 通过 利用 安全 方法 来 限制 相应 信息 的 访问 权 
限 。 计 算 机 安全 产生 于 20 世纪 50 年 代 至 20 世纪 60 年 代 ， 并 应 用 在 政府 部 门 与 军事 部 
门 等 存储 、 运 行 大 量 敏感 信息 的 系统 。 

本 节 将 介绍 4 种 常见 的 原则 ， 这 4 种 原则 已 经 使 用 了 数 百 年 ， 前 3 个 原则 一 一 特权 
分 离 原则 、 最 小 特权 原则 、 深 度 防御 原则 ， 第 4 种 为 模糊 安全 ， 即 通过 设置 安全 区 域 的 
方法 来 保障 安全 。 


@ - 18.1.1 通用 原则 -- 


\ 
eA NO tpi > 


1. 特权 分 离 原 则 
特权 分 离 原 是 最 久远 的 安全 原则 之 一 ， 并 仍然 适用 于 现在 的 安全 实践 中 ， 其 思想 相 
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当 的 简单 ， 不 主张 单一 的 人 员 有 足够 的 权限 导致 核心 事件 的 发 生 ， 该 原则 不 光 用 于 计算 
机 信息 安全 ， 还 广泛 运用 于 其 他 的 安全 领域 。 
口 空军 系统 ”没有 一 个 军 方 官员 有 权限 运行 核武 器 ， 一 般 来 说 释放 一 个 洲际 导弹 
需要 两 个 官员 同时 扭转 其 钥匙 。 两 个 钥匙 的 距离 要 能 够 保证 一 个 人 完成 该 任务 
的 可 能 性 为 零 。 
口 金融 系统 ”其 手头 存放 着 大 量 的 现金 ， 但 不 允许 任何 一 个 人 能 够 随意 进入 现金 
的 保险 库 ， 当 一 个 人 处 理 现金 业务 时 ， 还 会 有 其 他 角色 起 着 监督 的 作用 ， 如 果 
想 要 逃避 检测 ， 那 么 必须 进行 串通 ， 从 客观 上 增加 了 犯罪 的 成 本 。 
特权 分 离 在 信息 安全 领域 也 应 用 广泛 ， 当 设置 访问 控制 或 其 他 安全 措施 时 ， 安 全 管 
理 员 应 该 确认 在 这 些 安全 措施 实施 不 会 由 于 某 个 单一 特权 而 导致 安全 需求 受到 损害 。 控 
制 的 程度 取决 于 所 处 的 行业 和 处 理 的 信息 。 任何 决 定 都 应 该 遵循 组 织 的 安全 策略 。 例如: 
建立 新 账户 的 权限 和 给 某 个 账户 赋予 管理 员 权限 的 权限 应 该 分 别 分 配给 两 个 人 ， 这 样 可 
以 有 效 地 防止 一 个 人 建立 一 个 新 的 账户 并 同时 拥有 该 账户 管理 员 的 权限 。 


2. 最 小 特权 原则 


最 小 特权 原则 是 特权 分 离 原则 的 一 个 扩展 ， 这 一 原则 的 内 容 就 是 ， 一 个 人 进行 控制 
或 相应 的 工作 职责 时 ， 应 该 只 分 配 最 低 限 度 的 权限 。 这 是 一 个 显而易见 的 原则 ， 但 同时 
也 是 最 容易 被 违反 的 原则 ， 有 两 个 主要 的 原因 。 
口 “管理 员 的 朴 忽 ”通常 会 无 意 间 分 配给 用 户 多 余 的 权限 ， 将 用 户 归 类 为 高 权限 的 
组 ， 而 事实 上 其 应 有 的 权限 小 于 该 权限 。 
口 权限 的 变动 ”该 情况 常 发 生 在 用 户 角 色 发 生变 化 时 ， 在 角色 变化 后 却 没有 及 时 
收回 原 角色 的 特权 ， 这 样 可 能 在 角色 频繁 变化 后 可 能 造成 严重 的 安全 问题 。 为 
了 解决 该 问题 ， 在 任何 角色 变化 后 都 应 该 对 所 有 用 户 的 权限 进行 一 次 审计 。 


3. 深度 防御 原则 


在 军事 方面 ， 军 方 在 很 早 以 前 就 认识 到 了 建立 一 个 多 层次 的 防御 体系 来 进行 防御 的 
重大 意义 。 没 有 一 个 国家 会 将 自己 的 军队 沿 着 边境 线 排列 来 抵抗 外 部 的 入 侵 ， 这 样 会 使 
敌人 有 可 乘 之 机 ， 只 需 集 中 军事 力量 攻击 某 一 个 区 域内 ， 那 么 就 有 可 能 造成 整个 防线 的 
瘫痪 ， 由 此 深度 保护 的 概念 就 可 以 体现 出 来 了 。 

信息 安全 专家 将 该 理念 用 于 信息 保护 中 ， 在 过 去 数 十 年 里 面 ， 深 度 防御 的 概念 受到 
了 负责 设计 计算 机 网 络 外 围 保护 的 安全 人 员 的 追捧 。 这 个 理念 具体 包括 在 访问 控制 节点 
建立 多 层次 的 安全 防护 ， 并 在 不 同 的 关键 点 上 进行 层次 间 的 级 联 保 护 , 图 18-1 显示 了 深 
度 防御 的 一 个 例子 : 一 个 入 侵 者 若 想 要 从 外 部 入 侵 系 统 获取 敏感 信息 ， 首 先 需 要 通过 边 
境 路 由 器 ， 然 后 需要 了 进一步 的 渗透 进入 防火 墙 和 至 少 一 个 内 部 路 由 器 ， 在 渗透 同时 还 
需要 躲避 多 个 入 侵 检 测 系统 的 检测 。 


4. 模糊 安全 


在 信息 安全 早期 ， 安 全 管理 人 员 常 依靠 恶意 入 侵 者 不 知道 系统 内 部 所 采用 的 管理 安 
全 措施 这 一 事实 来 保证 安全 的 ， 这 就 叫做 模糊 安全 。 这 种 方法 在 一 定 程度 上 是 有 效 的 ， 
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尤其 是 在 国防 安全 的 保密 系统 中 。 政 府 部 门 防止 个 体 获 取 内 部 系统 信息 所 采用 的 安全 措 
施 一 般 是 “黑匣子 ”机 制 ， 也 就 是 说 不 知道 内 部 是 如 何 工作 的 ， 只 需 利用 其 结果 即 可 。 
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入 侵 检 测 系统 入 侵 检 测 系统 
图 18-1 深度 防御 例子 


@ -18: 人 2 一 安全 策略 =- -、 

一 个 有 效 的 安全 程序 必须 明确 地 定义 某 个 客体 所 具有 的 作用 ， 并 告知 用 户 可 以 行使 
的 与 之 相关 的 行为 。 这 些 都 是 安全 策略 通过 发 展 ， 公 布 与 执行 来 实现 的 。 这 些 关 型 的 策 
略 核心 功能 之 一 就 是 告知 用 户 发 现 与 利用 安全 控制 中 的 漏洞 是 不 被 允许 的 。 

每 一 个 企业 或 组 织 不 管 其 规模 大 小 都 应 该 起 草 一 份 信息 安全 策略 。 该 文档 应 该 免费 
为 组 织 内 所 有 用 户 所 使 用 。 但 只 有 一 个 安全 策略 的 文本 是 远 远 不 够 的 ， 用 户 还 必须 进行 
合适 的 训练 来 适应 相应 的 策略 ， 训 练 往往 发 生 在 刚 进 入 公司 时 或 岗位 变换 时 。 


1. 安全 策略 种 类 
安全 管理 员 可 以 为 系统 选择 数 百 种 不 同 的 安全 策略 。 有 着 简单 基本 要 求 的 公司 就 只 


350 


信息 安全 技术 教程 


需要 一 个 包含 着 具体 规则 和 规程 的 文档 来 描述 企业 的 安全 需求 。 而 一 些 有 着 复杂 的 安全 
需求 的 公司 可 能 对 安全 策略 的 要 求 会 更 高 点 ， 包 括 对 每 一 种 突 发 事件 的 应 急 处 理 和 对 组 
织 内 每 一 个 角色 如 管理 员 、 经 理 、 用 户 等 有 相应 的 不 同 的 行为 要 求 。 

下 面 将 介绍 几 种 常见 的 安全 策略 。 

(1) 可 接受 使 用 策略 

基本 上 每 一 个 组 织 都 有 可 接受 使 用 策略 。 这 些 策 略 阐明 了 组 织 内 可 以 允许 使 用 的 信 
息 资源 。 不 同 的 角色 有 着 不 同 的 需求 ， 如 经 理 、 雇 员 、 合 作 伙伴 、 顾 客 。 

可 接受 使 用 策略 真正 具有 挑战 的 一 点 是 做 到 让 策略 能 够 有 效 地 限制 用 户 权限 范围 内 
的 行为 ， 同 时 还 要 求 可 以 应 付 不 可 预知 的 行为 。 例 如 ，P2P 网 络 的 发 展 就 要 求 了 很 多 公 
司 必须 修改 他 们 的 安全 策略 ， 但 有 些 公 司 就 没有 修改 的 必要 ， 因 为 他 们 的 策略 中 已 经 提 
及 了 “用 户 不 能 将 文件 分 享 到 组 织 网 络 之 外 ”该 策略 很 有 效 地 讼 括 了 很 多 无 法 预料 的 
情况 。 

作为 可 接受 使 用 策略 ， 必 须 能 够 解决 以 下 问题 。 
哪些 类 型 的 行为 是 可 以 被 接受 的 。 
哪些 类 型 的 行为 是 不 可 能 被 接受 的 。 

如 果 策略 的 某 方面 描述 不 够 细致 ， 那 么 用 户 该 怎么 办 。 

口 违反 了 可 接受 使 用 策略 后 ， 系 统 应 该 采取 哪些 措施 。 

口 违反 了 可 接受 使 用 策略 ， 应 当 受 到 什么 处 罚 。 

这 些 问题 的 答案 应 该 与 组 织 的 具体 文化 相对 应 ， 有 些 企 业 就 允许 雇员 在 工作 时 间 使 
用 网 络 ， 甚 至 提供 了 一 些 与 工作 不 相关 的 功能 ， 而 有 些 企业 就 完全 不 允许 雇员 在 工作 时 
间 内 做 任何 与 工作 无 关 的 事情 。 

(2) 备份 策略 

一 提 到 信息 安全 ， 很 多 人 首先 就 会 想到 保密 性 ， 但 完整 性 和 可 用 性 同样 不 可 忽视 。 
所 以 备份 策略 的 重要 性 不 言 而 喻 。 所 谓 备份 策略 就 是 为 了 应 付 组 织 内 被 保护 的 数据 丢失 
或 损坏 的 情况 。 

备份 策略 应 该 有 以 下 几 方 面 的 内 容 。 

口 哪些 数据 需要 备份 ? 

口 如 何 对 这 些 数 据 进行 备份 ? 

口 数据 应 当 备份 在 什么 地 方 ? 

口 哪些 人 有 权限 接触 这 些 备份 介质 ? 

口 备份 数据 应 当 保留 多 长 时 间 ? 

(3) 保密 策略 

保密 策略 描述 的 是 组 织 内 应 当 受 保护 的 敏感 信息 所 采取 的 措施 ， 保 密 策略 至 少 应 当 
有 以 下 内 容 。 

口 哪些 数据 是 需要 保密 的 ? 

口 应 该 如 何 处 理 机 密 信息 ? 

口 如 果 机 密 信息 被 非 授权 泄露 了 ， 需 要 采取 哪些 应 急 措 施 。 

很 多 企业 都 会 要 求 新 员工 在 进入 企业 之 前 签署 保密 协定 ， 值 得 注意 的 是 ， 企 业 还 需 
要 员工 即使 在 他 们 离开 组 织 后 仍然 要 保护 信息 的 私密 性 ， 如 果 他 们 违反 相关 政策 ， 该 组 
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织 保留 现任 和 前 任 雇员 的 法 律 诉讼 权 。 
(4) 数据 管理 策略 
数据 信息 是 现代 企业 的 命脉 ， 企 业 就 需要 有 些 详细 的 策略 进行 数据 的 管理 。 数 据 管 
理 策 略 包 含 以 下 几 方面 因素 。 
口 数据 类 型 数据 管理 策略 需要 提供 不 同类 型 数据 的 保护 。 因 为 不 同类 型 的 数据 
有 着 不 同 的 管理 要 求 。 
口 “最短 保管 时 间 策略 需要 指出 每 种 类 型 的 数据 管理 的 最 短 时 间 ， 该 信息 的 主要 
目的 就 是 根据 法 律 法 规 ， 业 务 需求 或 其 他 要 求 来 确保 重要 数据 的 保管 时 间 ， 例 
如 根据 国际 税收 服务 规定 ， 财 政 与 税收 相关 的 信息 应 当 保管 至 少 7 年 。 
口 最 长 保管 时 间 策略 需要 指出 每 种 类 型 的 数据 管理 的 最 长 时 间 。 这 一 般 用 于 保 
管 有 关 私 人 隐私 ， 组 织 隐 私 中 的 一 些 数据 ， 根 据 法 律 法 规 的 要 求 需要 在 一 定时 
间 内 删除 。 
以 上 可 以 看 出 ， 数 据 管理 策略 的 总 体 目标 就 是 确保 在 对 商业 数据 的 管理 和 存储 时 ， 
所 有 操作 都 是 在 法 律 法 规 的 允许 范围 之 内 的 。 
(5) 无 线 设备 策略 
无 线 设备 ， 例 如 移动 电话 、 私 人 商务 工具 、 便 携 式 电脑 和 其 他 快速 发 展 的 移动 设备 。 
随 着 通信 技术 的 发 展 ， 为 应 付 工 作 地 点 的 无 线 设备 增加 的 情况 ， 企 业 组 织 内 需要 执行 内 
部 范围 的 无 线 设 备 策略 。 通 常 无 线 设 备 是 很 难受 控制 的 ， 并 能 给 系统 造成 很 多 的 安全 
威胁 。 
无 线 设 备 策略 主要 包含 以 下 几 方面 内 容 。 
口 组 织 购买 的 设备 类 型 。 
口 员工 自 带 的 私人 设备 类 型 。 
口 允许 私人 设备 行使 的 行为 。 
无 线 设备 能 够 给 组 织造 成 很 大 程度 的 安全 威胁 ,所 以 在 制订 该 策略 时 应 当 小 心 谨慎 ， 
并 能 够 有 力 地 执行 下 去 。 
2. 策略 执行 


负责 安全 策略 的 挑战 之 一 就 是 策略 的 执行 。 政 策 的 生命 周期 包括 政策 制订 、 验 收 、 
培训 、 执 法 和 维护 等 几 部 分 ， 有 些 过 程 可 以 一 次 性 地 完成 ， 但 也 有 很 多 过 程 是 随 着 组 织 
的 发 展 而 不 断 地 适应 变化 的 。 

(1) 政策 制订 

信息 安全 策略 的 制订 一 般 通 过 团队 方式 处 理 。 只 有 这 样 才能 最 大 程度 的 包括 不 同 功 
能 因素 。 通 常 来 讲 ， 这 样 的 一 个 团队 应 该 包括 以 下 几 类 人 : IT 专家、 营业 单位 代表 、 物 
理 安全 代表 、 人 力 资源 代表 、 金 融 代表 、 执 行 管理 层 代表 。 

只 有 在 这 样 的 合适 的 小 组 组 建 完成 后 , 才 可 以 开始 制定 组 织 的 安全 策略 , 一 般 来 说 ， 
制订 的 第 一 步 就 是 列举 出 该 安全 策略 需要 完成 的 一 系列 的 商业 目标 ， 然 后 针对 每 一 个 目 
标 单独 制订 出 响应 的 安全 策略 ， 下 一 步 是 将 这 些 安全 策略 传播 到 小 组 每 一 个 成 员 手 上 ， 
进行 讨论 ， 修 改 ， 最 后 在 大 家 都 同意 的 情况 下 ， 将 修改 好 的 安全 策略 内 容 汇 总 在 一 起 ， 
形成 一 个 完整 的 安全 策略 。 
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(2) 建立 共识 

当 小 组 成 员 对 安全 策略 达成 了 一 定 的 共识 后 , 那么 就 应 该 在 组 织 内 部 继续 传播 共识 ， 
向 组 织 内 的 主要 管理 人 员 解 释 安 全 策略 背后 的 原因 。 当 然 在 建立 组 织 范围 内 的 共识 这 一 
过 程 中 ， 策 略 制订 小 组 的 高 层 管理 人 员 代表 将 发 挥 重 要 作用 。 因 为 将 安全 策略 进行 推广 
的 最 有 效 的 方式 之 一 就 是 由 一 名 高 层 管理 人 员 将 安全 策略 通过 电子 邮件 或 书信 的 方式 进 
行 通告 。 如 果 这 一 步 实施 顺利 ， 那 么 未 来 的 执行 一 步 就 会 容易 很 多 ， 相 反 如 果 组 织 内 部 
的 共识 建立 失败 了 ， 那 么 该 策略 就 很 容易 被 某 些 组 织 内 部 的 人 员 所 忽略 。 

(3) 人 员 培 训 

人 员 培 训 ， 即 向 所 有 被 策略 影响 的 员工 提供 有 效 的 教育 与 训练 。 值 得 注意 的 是 这 一 
过 程 不 是 推广 ， 而 是 向 用 户 提供 有 关 政策 执 行 方面 的 细节 。 

一 个 完整 的 培训 过 程 有 两 个 不 同 的 阶段 : 初始 阶段 和 复习 阶段 。 

口 初始 阶段 ”该 阶段 是 面向 所 有 新 员工 或 者 准 员工 ， 该 培训 目的 是 提供 个 人 安全 
责任 方面 完整 的 概述 。 如 果 无 法 对 新 进 雇员 进入 组 织 的 第 一 天 进行 培训 的 话 ， 
那么 培训 应 该 至 少 在 员工 第 一 次 使 用 计算 机 系统 前 进行 。 关 于 培训 的 方式 ， 可 
以 一 次 性 的 进行 一 天 或 多 天 的 会 议 来 达到 强化 安全 责任 的 目的 ， 也 可 以 进行 一 
次 简短 的 会 议 ， 只 是 强调 一 些 目标 和 安全 责任 的 重要 性 ， 随 后 根据 个 人 的 需要 
订购 相关 的 录像 带 与 其 他 的 媒体 。 

口 复习 阶段 该 阶段 是 面向 长 期 聘用 后 的 员工 的 。 一 般 在 员工 的 聘 期 内 周期 性 的 
进行 。 复 习 阶 段 的 培训 时 间 应 该 相对 短 点 ， 其 有 两 个 目的 ， 第 一 个 就 是 让 员工 
回顾 一 下 自己 在 组 织 中 所 承担 的 安全 责任 ， 第 二 个 就 是 一 个 机 会 向 员工 们 解释 
一 些 由 于 新 近 技 术 的 发 展 导致 组 织 安全 策略 的 修改 。 复 习 阶 段 的 培训 的 范围 与 
方式 取决 于 组 织 的 具体 情况 。 例 如 : 如 果 组 织 内 经 常 进行 涵盖 各 种 主题 的 训练 
会 议 ， 那 么 该 培训 就 可 以 安排 在 某 一 个 会 议 之 中 进行 。 

另外 需要 注意 的 是 ， 组 织 提供 的 安全 培训 应 针对 不 同 的 角色 定制 具体 的 培训 内 容 。 

确保 培训 的 内 容 与 个 人 的 工作 职责 和 受 教育 程度 相符 合 。 
(4) 策略 执行 
为 了 使 安全 策略 有 效 ， 其 必须 在 组 织 范 围 内 贯彻 执行 。 策 略 本 身 就 应 该 包含 强制 执 
行规 定 ， 明 确 盖 明 违 反 政策 行为 和 应 遵循 的 程序 时 候 所 负 的 责任 。 一 个 不 被 执行 的 策略 
不 管 有 多 么 的 完善 都 是 没有 意义 的 。 

(5) 策略 维护 

可 以 这 么 说 ， 安 全 策略 是 一 个 动态 的 文档 。 当 制订 策略 时 ， 策 略 小 组 的 成 员 致 力 于 
策略 足够 的 完善 ， 以 至 于 能 够 囊括 所 有 未 预见 的 情况 ， 但 这 是 不 太 现实 的 ， 因 为 每 一 天 
都 会 有 改变 发 生 。 策 略 需 要 通过 一 系列 的 标准 化 过 程 对 自身 进行 修改 。 为 了 确保 安全 策 
略 能 够 符合 组 织 当 前 的 计算 环境 ， 组 织 通常 会 要 求 安全 策略 小 组 成 员 对 安全 策略 进行 定 
期 的 审查 。 
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和 其 他 领域 的 专家 一 样 ， 安 全 从 业者 也 有 一 系列 标准 化 的 工具 用 于 日 常 工 作 ， 有 些 


信息 安全 建设 标准 


是 技术 类 的 ， 例 如 防火 墙 、 入 侵 检测 系统 、 漏 洞 扫 描 器 等 ， 还 有 一 部 分 是 管理 工具 ， 常 
用 于 安全 策略 的 修改 和 维护 ， 如 下 面 将 要 介绍 的 安全 校 验 表 和 安全 矩阵 。 


1. 安全 校 验 表 


校 验 表 在 信息 技术 中 属于 最 为 流行 的 管理 工具 ， 通 用 于 大 型 或 小 型 组 织 。 安 全 专家 
使 用 校 验 表 用 于 截然 不 同 的 目的 。Q@ 安 全 专家 应 该 审阅 组 织 当前 存在 的 安全 清单 ， 确 保 
概述 的 程序 与 组 织 内 的 信息 安全 策略 一 致 。 通 过 对 校 验 表 中 的 项 目 进行 增加 、 删 除 、 修 
改 ， 从 而 快速 有 效 地 修正 用 户 的 日 常 行为 。 回 安全 从 业者 可 能 希望 建立 自己 安全 校 验 表 
用 于 具体 的 安全 目的 。 这 些 检验 表 可 以 是 完全 重新 设计 或 者 通过 借鉴 别人 的 经 验 设计 的 。 

2. 安全 矩阵 

安全 矩阵 是 一 个 用 于 安全 策略 制定 和 具体 执行 的 工具 。 表 18-1 即 为 一 个 简单 安全 甜 
阵 ， 表 格 的 行为 信息 安全 的 3 种 属性 ， 列 为 影响 程度 。 系 统管 理 员 在 为 系统 制定 安全 进 
程 时 ， 应 该 针对 每 种 情况 完成 相应 的 安全 矩阵 。 该 窍 阵 可 用 来 帮助 指导 安全 资源 的 有 效 
利用 。 


表 18-1 一 个 简单 的 安全 和 矩阵 


保密 性 完整 性 可 用 性 
非常 重要 Xx 
- 般 重 要 
次 重要 .4 


@ - 18.1.4” 物 理 安全 -- 
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另外 一 个 容易 被 忽略 的 安全 就 是 物理 安全 , 公司 在 技术 方面 投入 了 大 量 的 人 力 物力 ， 
防止 黑客 通过 网 络 非法 进入 系统 获取 资源 。 但 同时 也 应 该 确保 安全 守卫 在 岗 以 防止 任何 
人 能 够 简单 地 到 达 服 务 所 在 的 位 置 。 除 此 之 外 ， 物 理 安全 还 包括 防止 火灾 、 水 灾 等 自然 
灾害 对 计算 机 造成 的 物理 损害 。 

本 节 将 介绍 两 种 面向 主要 的 信息 安全 专家 的 物理 安全 解决 方案 : 边界 防护 和 电子 
实体 。 


1. 边界 防护 /访问 控制 


边界 防护 ， 与 防火 墙 放 在 网 络 边 界 来 保护 网 络 的 原理 一 样 ， 可 以 建立 合适 的 防御 来 
防止 物理 设施 受到 入 侵 。 防 御 的 方式 有 以 下 几 种 : 栅栏 、 运 动 检测 器 、 巡 罗 。 

防御 的 等 级 很 大 程度 上 取决 于 该 设施 的 用 途 和 位 置 。 军 方 的 设施 就 需要 士兵 武装 巡 
逻 ， 而 校区 的 服务 器 就 不 需要 这 么 大 张 旗 鼓 了 。 

信息 安全 领域 的 深度 防御 原则 也 可 同时 用 于 物理 安全 领域 。 对 于 核心 资产 ， 需 要 对 
其 进行 一 层 又 一 层 的 保护 。 例 如 : 一 个 要 保护 的 设施 ， 首 先 用 倒 刺 铁丝 围栏 围 起 来 ， 只 
留 一 个 出 入 口 ， 要 想 找到 出 入 口 需要 通过 一 个 岗 哨 ， 同 时 要 出 示 自 己 的 身份 ， 最 后 在 存 
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放 该 设施 的 房 门 ， 需 要 同时 通过 指纹 和 视网膜 扫描 后 才能 通过 。 这 样 一 个 深度 防御 的 例 
子 可 以 形象 地 表现 出 ， 防 御 层 次 越 高 ， 就 越 可 以 提升 物理 设施 的 安全 性 。 


2. 电子 实体 保护 


每 一 个 电子 设备 都 会 在 运行 过 程 中 无 意识 地 发 出 电磁 辐射 。 对 于 终端 用 户 来 说 ， 这 
些 不 是 很 重要 ， 因 为 没有 研究 表明 这 些 辐射 能 够 伤害 人 体 ， 然 而 ， 这 些 辐射 却 可 以 为 信 
息 安 全 造成 很 大 的 安全 威胁 ， 威 胁 的 程度 取决 于 这 些 辐射 所 承载 的 数据 内 容 。 事 实 上 ， 
在 数 百 米 远 的 地 方 可 以 通过 对 这 些 辐 射 的 利用 而 重新 恢复 出 其 承载 的 内 容 。 


@ - 咱 8:155== 太 员 安 全 = -、 

不 管 采取 了 什么 样 的 安全 控制 ， 人 员 将 永远 是 任何 系统 中 的 最 薄弱 环节 ， 因 此 在 整 
体 的 信息 安全 方案 中 包含 人 员 安全 是 至 关 重 要 的 。 主 要 可 采取 以 下 儿 种 措施 。 

(1) 在 为 员工 提供 就 业 时 ， 应 该 首先 进行 背景 调查 。 这 些 调查 应 包括 犯罪 记录 、 信 
用 记录 、 驾驶 记录 、 教育 证 明和 相关 评估 。 不 同 的 企业 关注 的 方向 也 不 一 样 ， 总 的 来 说 ， 
可 以 在 一 个 基础 上 进行 背景 调查 。 

(2) 对 员工 的 行为 进行 监控 。 具 体 包括 监控 网 络 流量 来 识别 不 适当 的 行为 ， 在 化 感 
位 置 设置 摄像 机 ， 记 录 电 话 对 话 。 

(3) 强制 假期。 强制 假期 有 两 个 目的 ， 第 一 是 给 员工 提供 一 个 休息 的 机 会 ， 第 二 是 
可 以 乘 此 机 会 发 现 原来 员工 可 能 隐藏 的 违规 行为 。 

C4) 尽 可 能 的 提供 给 要 离开 公司 的 员工 一 个 友好 的 环境 。 只 有 这 样 他 才 可 能 在 离开 
以 后 执行 保密 协定 。 


18.2 安全 标准 


随 着 计算 机 技术 的 飞速 发 展 , 众多 标准 化 组 织 制定 了 大 量 与 计算 机 安全 相关 的 标准 。 
这 些 安全 标准 事实 上 已 经 成 为 了 各 大 产 商 生产 计算 机 产品 时 所 遵循 的 标准 。 图 18-2 简单 
描绘 了 信息 技术 安全 评估 标准 的 历史 和 发 展 。 下 面 列 出 了 一 些 当今 计算 机 工业 界 最 常用 
的 计算 机 安全 标准 及 其 发 展 历史 。 
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TCSEC (Trusted Computer System Evaluation Criteria， 可 信 计 算 机 安全 评价 标准 ) 标 
准 是 计算 机 系统 安全 评估 的 第 一 个 正式 标准 ， 也 称 为 橘 皮 书 ， 具 有 划时代 的 意义 。 该 准 
则 于 1970 年 由 美国 国防 科学 委员 会 提出 , 并 于 1985 年 12 月 由 美国 国防 部 公布 。TCSEC 
最 初 只 是 军用 标准 ， 后 来 延至 民用 领域 。TCSEC 将 计算 机 系统 的 安全 划分 为 4 个 等 级 、 
7 个 级 别 。 

对 4 个 安全 等 级 说 明 如 下 。 
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加 拿 大 可 信 计 

算 机 产品 评估 

标准 (CTCPEC) 

1993 年 
美国 可 信 计 算 欧洲 信息 技术 信息 技术 安全 CC 成 为 国际 中 国 等 同 采用 
机 系统 评估 标 安全 评估 标准 评估 通用 标准 标准 ( ISOIEC CC 标准 ( GB/T 
准 (TCSEC) (ITSEC) (CC v1.0) 15408 ) 18336 ) 
1985 年 1991 年 1996 年 1999 年 2001 年 


美国 信息 技术 
安全 评估 联邦 
标准 ( FC) 
1993 年 


18-2 ”信息 技术 安全 评估 标准 的 历史 和 发 展 


1. D 类 安全 等 级 


D 类 安全 等 级 只 包括 D1 一 个 级 别 。D1 的 安全 等 级 最 低 。D1 系统 只 为 文件 和 用 户 
提供 安全 保护 .D1 系统 最 普通 的 形式 是 本 地 操作 系统 ,或 者 是 一 个 完全 没有 保护 的 网 络 。 


2. C 类 安全 等 级 


该 类 安全 等 级 能 够 提供 审慎 的 保护 ， 并 为 用 户 的 行动 和 责任 提供 审计 能 力 。C 类 安 
全 等 级 可 划分 为 Cl 和 C2 两 类 .C1 系统 的 可 信任 运算 基础 体制 (Trusted Computing Base， 
TCB) 通过 将 用 户 和 数据 分 开 来 达到 安全 的 目的 。 在 Cl 系统 中 ， 所 有 的 用 户 以 同样 的 
灵敏 度 来 处 理 数据 ， 即 用 户 认为 C1 系统 中 的 所 有 文档 都 具有 相同 的 机 密 性 。C2 系统 比 
C1 系统 加 强 了 可 调 的 审慎 控制 。 在 连接 到 网 络 上 时 ，C2 系统 的 用 户 分 别 对 各 自 的 行为 
负责 。C2 系统 通过 登录 过 程 、 安 全 事件 和 资源 隔离 来 增强 这 种 控制 。C2 系统 具有 C1 
系统 中 所 有 的 安全 性 特征 。 


3. B 类 安全 等 级 


B 类 安全 等 级 可 分 为 Bl、B2 和 B3 共 3 类 。B 类 系统 具有 强制 性 保护 功能 。 强 制 性 
保护 意味 着 如 果 用 户 没 有 与 安全 等 级 相连 ,系统 就 不 会 让 用 户 存 取 对 象 。 B1 系统 满足 下 
列 要 求 : 系统 对 网 络 控制 下 的 每 个 对 象 都 进行 灵敏 度 标记 : 系统 使 用 灵敏 度 标记 作为 所 
有 强迫 访问 控制 的 基础 ， 系 统 在 把 导入 的 、 非 标记 的 对 象 放 入 系统 前 标记 它们 ;， 灵敏度 
标记 必须 准确 地 表示 其 所 联系 的 对 象 的 安全 级 别 ; 当 系 统管 理 员 创建 系统 或 者 增加 新 的 
通信 通道 或 IO 设备 时 ， 管 理 员 必 须 指定 每 个 通信 通道 和 IO 设备 是 单 级 还 是 多 级 ， 并 
且 管 理 员 只 能 手工 改变 指定 ; 单 级 设备 并 不 保持 传输 信息 的 灵敏 度 级 别 ; 所 有 直接 面向 
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用 户 位 置 的 输出 (无 论 是 虚拟 的 还 是 物理 的 ) 都 必须 产生 标记 来 指示 关于 输出 对 象 的 灵 
敏 度 ; 系统 必须 使 用 用 户 的 口令 或 证 明 来 决定 用 户 的 安全 访问 级 别 ， 系 统 必须 通过 审计 
来 记录 未 授权 访问 的 企图 。 

B2 系统 必须 满足 B1 系统 的 所 有 要 求 。 另 外 ,B2 系统 的 管理 员 必须 使 用 一 个 明确 的 、 
文档 化 的 安全 策略 模式 作为 系统 的 可 信任 运算 基础 体制 。B2 系统 必须 满足 下 列 要 求 : 系 
统 必须 立即 通知 系统 中 的 每 一 个 用 户 所 有 与 之 相关 的 网 络 连 接 的 改变 ， 只 有 用 户 能 够 在 
可 信任 通信 路 径 中 进行 初始 化 通信 ;可 信任 运算 基础 体制 能 够 支持 独立 的 操作 者 和 管 
理 员 。 

B3 系统 必须 符合 B2 系统 的 所 有 安全 需求 。B3 系统 具有 很 强 的 监视 委托 管理 访问 能 
力 和 抗 干扰 能 力 。B3 系统 必须 设 有 安全 管理 员 。B3 系统 应 满足 以 下 要 求 : 除了 控制 对 
个 别 对 象 的 访问 外 ，B3 必须 产生 一 个 可 读 的 安全 列表 ; 每 个 被 命名 的 对 象 提供 对 该 对 象 
没有 访问 权 的 用 户 列表 说 明 ; B3 系统 在 进行 任何 操作 前 ， 要 求 用 户 进行 身份 验证 ，B3 
系统 验证 每 个 用 户 ， 同 时 还 会 发 送 一 个 取消 访问 的 审计 跟踪 消息 ;设计 者 必须 正确 区 分 
可 信任 的 通信 路 径 和 其 他 路 径 ， 可 信任 的 通信 基础 体制 为 每 一 个 被 命名 的 对 象 建立 安全 
审计 跟踪 ， 可 信任 的 运算 基础 体制 支持 独立 的 安全 管理 。 


4. A 类 安全 等 级 


A 系统 的 安全 级 别 最 高 。 目 前 ，A 类 安全 等 级 只 包含 Al 一 个 安全 类 别 。Al 类 与 
B3 类 相似 ， 对 系统 的 结构 和 策略 不 作 特 别 要 求 。A1l 系统 的 显著 特征 是 ， 系 统 的 设计 者 
必须 按照 一 个 正式 的 设计 规范 来 分 析 系 统 。 对 系统 分 析 后 ， 设 计 者 必须 运用 核对 技术 来 
确保 系统 符合 设计 规范 。Al 系统 必须 满足 下 列 要 求 : 系统 管理 员 必 须 从 开发 者 那里 接收 
到 一 个 安全 策略 的 正式 模型 ， 所 有 的 安装 操作 都 必须 由 系统 管理 员 进 行 ， 系 统管 理 员 进 
行 的 每 一 步 安 装 操作 都 必须 有 正式 文档 。 


© - 18:2:2 二 ITSEC=-、 

欧洲 的 安全 评价 标准 〈Information Technology Security Evaluation Criteria,ITSEC) 
是 英国 、 法 国 、 德 国 和 荷兰 制定 的 IT 安全 评估 准则 ， 较 美国 军 方 制定 的 TCSEC 准则 在 
功能 的 灵活 性 和 有 关 的 评估 技术 方面 均 有 很 大 的 进步 。 

ITSEC 是 欧洲 多 国安 全 评价 方法 的 综合 产物 ， 应 用 领域 为 军队 、 政 府 和 商业 。 该 标 
准将 安全 概念 分 为 功能 与 评估 两 部 分 。 功 能 准则 从 F1~F10 共 分 10 级 。1 一 5 级 对 应 于 
TCSEC 的 D 到 A。F6 至 F10 级 分 别 对 应 数据 和 程序 的 完整 性 、 系 统 的 可 用 性 、 数 据 通 
信 的 完整 性 、 数 据 通信 的 保密 性 以 及 机 密 性 和 完整 性 的 网 络 安全 。 

与 TCSEC 不 同 ， 它 并 不 把 保密 措施 直接 与 计算 机 功能 相 联系 ， 而 是 只 叙述 技术 安 
全 的 要 求 ， 把 保密 作为 安全 增强 功能 。 另 外 ，TCSEC 把 保密 作为 安全 的 重点 ， 而 ITSEC 
则 把 完整 性 、 可 用 性 与 保密 性 作为 同等 重要 的 因素 。ITSEC 定义 了 从 E0 级 〈 不 满足 品 
质 ) 到 E6 级 (形式 化 验证 ) 的 7 个 安全 等 级 ， 对 于 每 个 系统 ， 安 全 功能 可 分 别 定义 。 
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0- -i823=TCPEC= 、 


CTCPEC (Canadian Trusted Computer Product Evaluation Criteria) 是 加 拿 大 的 评价 标 
准 ， 专 门 针对 政府 需求 而 设计 。 与 ITSEC 类 似 ， 该 标准 将 安全 分 为 功能 性 需求 和 保证 性 
需要 两 部 分 。 功 能 性 需求 共 划分 为 四 大 类 : 机 密 性 、 完 整 性 、 可 用 性 和 可 控 性 。 每 种 安 
全 需求 又 可 以 分 成 很 多 小 类 ， 来 表示 安全 性 上 的 差别 ， 分 级 条 数 为 0 一 5 级 。 


0 1824 FIps 
美国 商业 部 长 依据 信息 技术 管理 改革 法 ,批准 NIST ( National Institute of Standards 
and Technology， 技 术 与 标准 国家 协会 ) 为 联邦 计算 机 系统 制定 的 标准 和 指南 。 

NIST 发 布 这 些 用 于 政府 领域 的 标准 和 指南 作为 联邦 信息 处 理 标 准 〈Federal 
Information Processing Standards，FIPS)。NIST 制定 FIPS 用 于 没有 现成 工业 标准 和 方案 
可 以 满足 的 联邦 政府 强制 性 要 求 ， 例 如 : 安全 和 通用 性 。 联 邦 信息 处 理 标准 (Federal 
Information Processing Standards，FIPS ) 是 一 套 描述 文件 处 理 、 加 密 算法 和 其 他 信息 技术 
标准 在 非 军用 政府 机 构 和 与 这 些 机 构 合 作 的 政府 承包 商 和 供应 商 中 应 用 的 标准 ) 的 
标准 。 


@-- 18.2.5 BS7799 系列 (ISO/IEC 27000 系列 ) -、 


1. BS7799 第 一 部 分 


BS7799 第 一 部 分 的 全 称 是 Code of Practice for Information Security, 即 信息 安全 的 实 
施 细则 。2000 年 被 采纳 为 ISOTEC 17799, 目前 其 最 新 版 本 为 2005 版 , 也 就 是 ISO 17799: 
2005。 

ISO/TEC 17799:2005 通过 层次 结构 化 形式 提供 安全 策略 、 信 息 安全 的 组 织 结构 、 资 
产 管 理 、 人 力 资源 安全 等 11 个 安全 管理 要 素 ， 还 有 39 个 主要 执行 目标 和 133 个 具体 控 
制 措施 〈 最 佳 实践 )， 供 负责 信息 安全 系统 应 用 和 开发 的 人 员 作为 参考 使 用 ， 以 规范 化 组 
织 机 构 信息 安全 管理 建设 的 内 容 。 

2. BS7799 第 二 部 分 


BS7799 第 二 部 分 的 全 称 是 Information Security Management Specification， 即 信息 安 
全 管理 体系 规范 ， 其 最 新 修订 版 在 2005 年 10 月 正式 成 为 ISO/TEC 27001:2005, ISO/IEC 
27001 是 建立 信息 安全 管理 体系 (ISMS ) 的 一 套 规范 ， 其 中 详细 说 明了 建立 、 实 施 和 维 
护 信息 安全 管理 体系 的 要 求 ， 可 用 来 指导 相关 人 员 去 去 应 用 ISO/IEC 17799， 其 最 终日 
的 在 于 建立 适合 企业 需要 的 信息 安全 管理 体系 (ISMS)。 
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©@-- 18.2.6 ISO/IEC TR 13335 系列 - -、 

ISO/TEC TR 13335， 早 前 被 称 作 “IT 安全 管理 指南 ”(Guidelines for the Management 
of IT Security, GMITS), 新 版 称 作 “ 信 息 和 通信 技术 安全 管理 ”Management of Information 
and Communications Technology Security，MICTS)， 是 ISO/IEC JTC1 制定 的 技术 报告 
是 一 个 信息 安全 管理 方面 的 指导 性 标准 ， 其 目的 是 为 有 效 实施 IT 安全 管理 提供 建议 和 
支持 。 

ISO/TEC TR 13335 系列 标准 (旧版 一 一 GMITS 由 5 部 分 标准 组 成 。 

1. ISOTEC13335-1:1996《IT 安全 的 概念 与 模型 》 

. ISO/IEC13335-2:1997《IT 安全 管理 与 策划 》 

. ISOEC13335-3:1998《IT 安全 管理 技术 》 

. ISOEC13335-4:2000《 防 护 措 施 的 选择 》 
ISO/TEC13335-5:2001《 网 络 安全 管理 指南 》 

上 前 ,ISO/IEC 13335-1:1996 已 经 被 新 的 ISO/ITEC 13335-1:2004 (MICTS 第 1 部 分 : 
信息 和 通信 技术 安全 管理 的 概念 和 模型 》 所 取代 ，ISO/TEC 13335-2:1997 也 将 被 正在 开 
发 的 ISO/IEC 13335-2 (MICTS 第 2 部 分 : 信息 安全 风险 管理 ) 取代 。 

ISO/TEC TR 13335 只 是 一 个 技术 报告 和 指导 性 文件 ， 并 不 是 可 依据 的 认证 标准 ， 信 
息 安全 体系 建设 参考 BS 7799， 具 体 实践 参考 ISO TR 13335。 
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© 18.2.7 SSE-CMM F、 

SSE-CMM (System Security Engineering Capability Maturity Model) 模型 是 CMM 在 
系统 安全 工程 这 个 具体 领域 应 用 而 产生 的 一 个 分 支 ， 是 美国 国家 安全 局 (NSA) 领导 开 
发 的 ， 是 专门 用 于 系统 安全 工程 的 能 力 成 熟 度 模型 。 

SSE-CMM 第 一 版 于 1996 年 10 月 出 版 ，1999 年 4 月 SSE-CMM 模型 和 相应 评估 方 
法 2.0 版 发 布 。 

系统 安全 工程 过 程 一 共有 3 个 相关 组 织 过 程 。 

1. 工程 过 程 

2. 风险 过 程 

3. 保证 过 程 

系统 安全 工程 共 分 5 个 能 力 级 别 和 11 个 过 程 区 域 ， 能 力 级 别 如 下 。 

1. 基本 执行 级 
.计划 跟踪 级 
. 量化 控制 级 

.持续 改进 级 

2002 年 , SSE-CMM 被 国际 标准 化 组 织 采 纳 成 为 国际 标准 即 ISO/TEC 21827:2002《 信 

息 技术 系统 安全 工程 一 成 熟 度 模 型 》。 
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SSE-CMM 和 BS7799 都 提出 了 一 系列 最 佳 惯例 ， 但 BS7799 是 一 个 认证 标准 (第 
二 部 分 )， 提 出 了 一 个 可 供认 证 的 ISMS 体系 ,组 织 应 该 将 其 作为 目标 ， 通过 选择 适当 的 
控制 措施 (第 一 部 分 ) 去 实现 。 而 SSE-CMM 则 是 一 个 评估 标准 ， 适 合作 为 评估 工程 实 
施 组 织 能 力 与 资质 的 标准 。 


© -18.2.8 ITILL 和 BS15000 -， 

ITIL 的 全 称 是 信息 技术 基础 设施 库 〈Information Technology Infrastructure Library )。 
ITIL 针对 一 些 重要 的 IT 实践 , 详细 描述 了 可 适用 于 任何 组 织 的 全 面 的 清单 (Checklists)、 
任务 (Tasks)、 程 序 (Procedures)、 职责 (Responsibilities) 等 。 

IT 服务 管理 中 最 主要 的 内 容 就 是 服务 交付 〈Service Delivery) 和 服务 支持 (Service 
Support) 

(1) 服务 交付 包括 以 下 内 容 。 
服务 级 别管 理 ( Service Level Management ) 

IT 服务 财务 管理 ( Financial Management for IT Service ) 
能 力 管理 (Capacity Management ) 

IT 服务 连贯 性 管理 (IT Service Continuity Management ) 
可 用 性 管理 ( Availability Management ) 

2) 服务 支持 包括 以 下 内 容 。 

服务 台 (Service Desk ) 

事件 管理 ( Incident Management ) 

问题 管理 (Problem Management ) 

结构 管理 (Configuration Management ) 

变动 管理 (Change Management ) 

发 布 管理 ( Release Management ) 

英国 标准 协会 (British Standard Institute，BSI) 在 国际 IT 服务 管理 论坛 年 会 上 ， 正 
式 发 布 了 基于 ITIL 的 英国 国家 标准 BS15000。2002 年 ,BS15000 为 国际 标准 化 组 织 (ISO) 
所 接受 ， 作 为 IT 服务 管理 的 国际 标准 的 重要 组 成 部 分 。BS15000 有 两 个 部 分 。 

(1) ISO/AEC 20000-1:2005 信息 技术 服务 管理 一 服务 管理 规范 (Information 
technology service management. Specification for Service Management) 

(2) ISO/TEC 20000-2:2005 信息 技术 服务 管理 一 服务 管理 最 佳 实践 〈Information 
technology service management Code of Practice for Service Management) 

而 与 BS7799 相 比 ，ITIL 关注 面 更 为 广泛 〈 信 息 技术 )， 而 且 更 侧重 于 具体 的 实施 
流程 。 信 息 安全 管理 体系 (ISMS ) 实施 者 可 以 将 BS7799 作为 ITIL 在 信息 安全 方面 的 
补充 ， 同 时 引入 ITIL 流程 的 方法 ， 以 此 加 强 信息 安全 管理 的 实施 能 

目前 ，IT 服务 管理 〈ITSM) 领域 正成 为 全 球 IT 厂商 、 政 府 、 企 业 和 业界 专家 广泛 
参与 的 新 兴 领 域 , 对 未 来 的 开 走 向 和 企业 信息 化 ,将 会 产生 深远 的 影响 。 其 内 容 描述 的 
是 IT 部 门 应 该 包含 的 各 个 工作 流程 以 及 各 个 工作 流程 之 间 的 相互 关系 。 

ITIL 包括 了 一 系列 适用 于 所 有 IT 组 织 的 最 佳 实践 -- 无 论 这 些 组 织 的 规模 如 何 ， 以 及 
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使 用 的 是 什么 技术 。 事 实 上 ， 这 15 年 来 的 发 展 ，ITIL 在 全 球 ， 尤 其 是 欧美 地 区 一 直 是 
如 火 如 蔡 。 它 已 经 被 全 球 近 20000 多 家 在 不 同 领域 和 行业 领先 的 组 织 不 同 程度 上 所 使 用 。 
需要 强调 的 一 点 是 : ITIL 不 是 一 个 正式 标准 ， 而 是 目前 普遍 实行 的 “事实 ”上 的 标准 。 


0- 82:9CC3、 

通常 所 称 的 通用 标准 或 通用 准则 (Common Criteria，CC) 是 指 ISO/IEC15408:1999 
标准 。 目 前 CC 标准 的 最 新 版 本 是 2.2; CC2.1 版 在 1999 年 成 为 国际 标准 ISO/TEC15408: 
1999; 我 国 在 2001 年 等 同 采 用 为 国家 标准 GB/T 18336 一 2001。 

CC 标准 由 3 个 部 分 组 成 。 

(1) GB/T 18336.1 一 2001 idt ISO/TEC15408-1:1999 信息 技术 安全 技术 信息 技术 安全 
性 评估 准则 第 1 部 分 : 简介 和 一 般 模型 。 

(2) GB/T 18336.2 一 2001 idt ISO/TEC15408-2:1999 信息 技术 安全 技术 信息 技术 安全 
性 评估 准则 第 2 部 分 : 安全 功能 要 求 。 

(3) GB/T 18336.3 一 2001 idt ISO/TEC15408-3:1999 信息 技术 安全 技术 信息 技术 安全 
性 评估 准则 第 3 部 分 : 安全 保证 要 求 。 

如 图 18-3 所 示 ， 与 BS7799 标准 相 比 ，CC 的 侧重 点 放 在 系统 和 产品 的 技术 指标 评 
价 上 ，BS7799 在 阐述 信息 安全 管理 要 求 时 ， 并 没有 强调 技术 细节 。 因 此 ， 组 织 在 依照 
BS7799 标准 来 实施 ISMS 时 , 一 些 牵涉 系统 和 产品 安全 的 技术 要 求 , 可 以 借鉴 CC 标准 。 


GB/T 18336 
cc 


EALI1 


EAL2 
EAL3 
EAL4 
EALS 
EAL6 
EAL7 


图 18-3 CC 与 其 他 标准 的 评测 级 别 对 应 关系 图 


®@-- 18:2:10 CoBIT 二 

CoBIT 的 全 称 是 信息 和 相关 技术 的 控制 目标 (Control Objectives for Information and 
related Technology)， 是 ITGI 提出 的 开 治理 模型 (IT Govemance)， 是 一 个 工控 制 和 工 
治理 的 框架 (Framework)。CoBIT 是 一 个 在 更 高 的 层面 上 指导 管理 层 进行 技术 标准 和 信 
息 系 统管 理 的 IT 治理 模型 。 

CoBIT 的 8 个 控制 过 程 : 计划 和 组 织 (Planning & Organisation )、 采 购 和 实施 
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(Acquisition 及 Implementation )、 交 付 和 支持 〈Delivery 人 & Support)、 监 视 和 评估 
(Monitoring & Evaluation ) 。 

CoBIT 的 7 个 控制 目标 : 机 密 性 〈Confidentiality)、 完 整 性 〈Integrity)、 可 用 性 
(Availability)、 有 效 性 (Effectiveness)、 高 效 性 (Efficiency)、 可 靠 性 (Reliability)、 符 
合 性 (Compliance)。 

目前 基本 上 存在 着 两 类 控制 模型 , 一 类 是 类 似 COSO 这 样 的 商业 控制 模式 (business 
control model), 另 一 类 则 是 像 BS7799 这 样 的 更 关注 IT 的 控制 模型 (more focused on IT 
control model)， 而 CoBIT 的 目标 是 在 两 者 之 间架 起 一 座 桥梁 。 


© - 18:2:11 NIST SP800 系列 -~ 
美国 国家 标准 技术 协会 (National Institute of Standards and Technology，NIST) 发 布 
的 Special Publication 800 文档 是 一 系列 针对 信息 安全 技术 和 管理 领域 的 实践 参考 指南 ， 
其 中 有 多 篇 是 有 关 信 息 安全 管理 的 ， 包 括 以 下 内 容 。 
口 SP 800-12 计算 机 安全 介绍 (An Introduction to Computer Security: The NIST 
Handbook ). 
口 SP 800-30 IT 系统 风险 管理 指南 ( Risk Management Guide for Information 
Technology Systems )。 
口 SP 800-34 IT 系统 应 急 计划 指南 ( Contingency Planning Guide for Information 
Technology Systems )。 
口 SP 800-26 IT 系统 安全 自我 评估 指南 ( Security SelfAssessment Guide for 
Information Technology Systems )。 
这 些 文件 可 以 作为 实施 ISMS 过 程 中 一 些 关 键 任务 的 指导 和 参照 (例如 风险 评估 、 
应 急 计划 等 )， 是 对 BS7799 标准 很 好 的 补充 和 细 化 。 


18.3 安全 法 规 


信息 安全 法 律 法 规 是 各 种 实践 活动 的 指导 和 原则 ， 尽 管 不 是 法 律 文本 ， 也 不 是 权威 
的 法 律 顾 问 的 蔡 代 品 ， 但 是 对 规范 信息 安全 职业 的 法 律 法 规 有 一 个 基本 的 了 解 还 是 很 重 
要 的 。 有 一 些 法 律 规定 了 在 信息 系统 中 存储 和 处 理 信息 的 隐私 权 ， 另 一 些 提供 了 各 种 行 
业 所 要 求 的 安全 防护 的 细节 。 

我 国信 息 化 法 律 法 规 建设 与 国家 发 展 ， 尤 其 是 与 国家 的 法 制 建设 进程 是 同步 的 ， 过 
程 分 为 不 同 阶段 :1949 一 2001 年 间 ， 信 息 化 立法 停留 在 分 散 立法 阶段 ， 主 要 是 由 国务 院 
和 各 部 门 针 对 信息 化 发 展 中 出 现 的 一 些 突出 问题 通过 制定 法 规 和 规章 加 以 调整 ， 重 点 集 
中 在 电子 商务 、 信 息 安全 、 互 联网 治理 等 方面 ，2002 年 至 今 处 于 集中 立法 阶段 ， 立 法 作 
为 全 面 推进 信息 化 中 的 一 项 基础 性 工作 ， 在 电子 签名 与 电子 商务 、 政 府 信息 公开 、 个 人 
信息 保护 、 信息 安 全 保护 以 及 互联 网 治理 等 领域 得 到 极 大 发 展 ,其 中 2004 年 8 月 通过 的 
《电子 签名 法 》 是 我 国电 子 商务 和 信息 化 领域 的 第 一 部 专门 法 律 , 2007 年 1 月 通过 的 《 政 
府 信息 公开 条 例 》 则 第 一 次 系统 建立 了 规范 的 、 可 操作 的 政府 信息 公开 制度 。 
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下 面 列举 了 我 国 现 阶段 的 一 些 信息 安全 方面 的 法 律 法 规 。 

《互联 网 出 版 管理 暂行 规定 》 

《计算 机 信息 系统 保密 管理 暂行 规定 》 

《计算 机 病毒 防治 管理 办 法 》 

《计算 机 信息 网 络 国际 联网 出 入 口 信道 管理 办 法 》 

《计算 机 信息 网 络 国际 联网 安全 保护 管理 办 法 》 

《公安 部 关于 对 与 国际 联网 的 计算 机 信息 系统 进行 备案 工作 的 通知 》 
《计算 机 信息 系统 安全 专用 产品 检测 和 销售 许可 证 管理 办 法 》 

《中 华人 民 共 和 国 计 算 机 信息 网 络 国际 联网 管理 暂行 规定 实施 办 法 》 
《中 华人 民 共 和 国 计 算 机 信息 系统 安全 保护 条 例 》 


《商用 密码 管理 条 例 》 
《电子 签名 法 》 
习 题 
A. 最 长 保管 时 间 B. 最 短 保管 时 间 
一 、 选 择 题 C. 数据 安全 D. 数据 类 型 
1。 常见 的 通用 安全 原则 为 特权 分 离 原 则 、 二 、 问 答题 
最 小 特权 原则 、 深 度 防御 原则 以 及 下 列 哪 一 项 ? 
( ) 1. 简 述 最 小 特权 原则 的 实施 与 重要 性 。 
A. 物理 安全 策略 ”B. 人 员 安 全 策略 2. 简 述 通用 安全 管理 工具 减轻 执行 安全 策 
C. 区 域 安全 策略 ” D， 模糊 安全 策略 略 的 过 程 。 
2. 数据 管理 策略 不 包括 下 列 哪 一 项 ? 3. 思考 如 何 为 一 个 组 织 或 企业 编写 并 执行 
( ) 具体 的 安全 策略 。 
ER 
课 后 实践 


1. 了 解 并 熟悉 目前 国际 上 通用 的 信息 安全 标准 。 
2. 熟悉 CC 标准 的 具体 内 容 以 及 和 其 他 标准 的 对 应 关系 。 
3. 了 解 我 国 在 信息 安全 标准 制定 方面 所 做 的 工作 和 取得 的 进展 。 


第 19 章 构建 企业 安全 实践 


。 为 企业 建立 一 个 强健 的 安全 计划 
理解 企业 业务 持续 性 计划 重要 性 
实施 灾难 恢复 计划 
应 用 数据 分 类 程序 

。 安全 法 律 法 规 

目前 ， 并 非 所 有 组 织 都 重视 自身 安全 建设 。 作 为 一 名 安全 从 业 人 员 ， 只 能 利用 组 织 
中 有 限 的 资源 〈 经 济 上 、 人 力 上 以 及 其 他 方面 ) 来 构建 企业 的 安全 ， 解 决 企业 当中 各 种 
各 样 的 问题 。 本 章 将 介绍 安全 专家 利用 安全 工具 、 技 术 手段 和 安全 实践 构建 企业 安全 ， 
完成 组 织 业 务 目的 的 方法 。 


19.) 构建 企业 安全 案例 


对 许多 安全 专家 而 言 , 构建 企业 安全 案例 是 一 项 具有 挑战 性 的 任务 。 在 很 多 企业 中 ， 
企业 人 员 和 安全 人 员 之 间 都 存在 分 歧 ， 消 除 这 个 分 歧 需 要 两 方面 的 共同 努力 。 

作为 一 名 安全 从 业 人 员 ， 必 须要 理解 企业 的 各 种 意图 。 毕 竟 ， 所 有 程序 〈 包 括 安全 
程序 ) 都 是 为 了 支持 企业 的 最 终 目 标 。 安 全 人 员 首 先 要 对 企业 的 目标 有 一 个 整体 的 了 解 ， 
然后 决定 如 何在 实现 这 些 目标 的 过 程 中 保护 企业 的 安全 。 在 较 小 的 公司 里 ， 安 全 人 员 只 
需 和 相关 人 员 进行 交 谈 ， 阅 读 一 些 企 业 相 关 的 书面 材料 就 能 达到 这 个 目的 。 在 大 型 企业 
里 ， 则 需要 更 多 的 措施 来 构建 企业 知识 库 。 另 外 ， 如 果 负 责 的 部 门 是 特定 的 企业 单元 ， 
就 需要 对 这 个 单元 业务 操作 的 细节 有 详细 的 了 解 。 

有 了 两 种 类 型 的 风险 分 析 方法 : 定性 分 析 方 法 和 定量 分 析 方法 。 当 建立 企业 安全 案例 
的 时 候 ， 可 以 使 用 相似 的 方法 。 企 业 管 理 者 考虑 企业 决策 的 时 候 ， 很 多 时 候 是 以 单纯 的 
定量 方法 进行 的 (例如 , 一 种 新 的 垃圾 邮件 过 滤 工 具 每 年 能 够 节省 1000 个 工作 时 ,每 个 
工作 时 的 平均 成 本 是 15 美元 ， 因 此 ， 这 个 过 滤 工 具 每 年 节省 的 是 15000 美元 。 而 这 个 过 
滤器 工具 的 成 本 只 有 5000 美元 ， 所 以 选择 使 用 这 个 垃圾 邮件 过 滤 工 具 )。 另 外 一 些 企 业 
决定 是 由 定性 方法 做 出 的 《〈 例 如， 防火 墙 可 以 阻止 入 侵 者 进入 企业 网 络 偷 走 商 业 秘密 ， 
而 这 些 秘密 如 果 被 泄露 给 竞争 对 手 ， 会 造成 整个 企业 的 重大 损失 。 所 以 ， 无 论 花费 多 大 
的 代价 ,企业 必须 应 用 防火 墙 )。 在 构建 企业 案例 的 时 候 ， 要 考虑 到 程序 应 用 后 对 企业 可 
能 的 结果 ， 这 样 可 以 帮助 选择 合适 的 策略 。 

在 构建 企业 安全 实践 的 时 候 , 要 学 习 一 些 企业 业务 相关 的 课程 。 学 习 一 些 有 关 会 计 、 
金融 及 企业 管理 战略 部 署 的 知识 ， 可 以 更 好 地 帮助 理解 企业 的 整体 功能 。 同 时 要 掌握 一 
些 企业 管理 人 员 使 用 的 专业 术语 ， 这 样 可 以 有 效 地 和 相关 人 士 进行 交流 。 
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了 企业 业务 连续 性 计划 


每 一 个 组 织 都 面临 着 风险 。 火 灾 、 洪 水 、 盗 窃 、 战 争 以 及 其 他 事故 威胁 着 每 个 企业 
的 连续 性 运作 。 信 息 安全 专家 的 一 项 重要 责任 就 是 保护 企业 计算 机 资源 免 受 这 些 风险 的 
威胁 。 这 种 实践 被 叫做 企业 业务 连续 性 计划 ， 其 核心 就 是 要 开发 ， 应 用 并 维护 企业 组 织 
的 业务 连续 性 计划 (BCP)。 

下 面 的 内 容 ， 将 要 讨论 制订 企业 业务 连续 性 计划 最 主要 的 几 点 注意 事项 ， 包 括 最 初 
的 漏洞 评估 、 安 全 控制 手段 的 实施 等 。 


@ - 19:2:1 漏洞 评估 一- 


\ 
2 


每 个 企业 都 面临 着 大 量 的 信息 安全 漏洞 。 其 中 一 些 是 技术 上 的 风险 ， 例 如 黑客 、 硬 
件 错误 以 及 操作 错误 。 另 一 些 则 是 间接 的 威胁 ， 例 如 自然 灾害 和 建筑 物 倒塌 。 为 有 效 管 
理 风险 ， 组 织 必须 找 出 潜在 的 风险 并 采取 一 定 的 措施 进行 弥补 ， 注 意 不 要 在 一 些 无 足 轻 
重 的 事件 上 花费 太 多 的 时 间 。 一 个 位 于 内 陆地 区 的 公司 不 应 该 把 大 量 的 时 间 花 费 在 预防 
海中 的 发 生 。 

漏洞 评估 是 建立 组 织 BPC 的 第 一 步 。 通 过 这 个 初步 分 析 找 出 组 织 中 存在 的 漏洞 ， 并 
决定 漏洞 相应 的 威胁 以 及 构成 的 重大 风险 ,经 常用 一 个 公式 来 表达 这 些 概念 之 间 的 关系 : 

风险 = 威胁 x 漏洞 

通过 一 个 例子 对 这 个 公式 进行 解释 。 假 如 一 个 公司 位 于 海岸 线 上 ， 但 并 没有 建立 海 
堤 。 如 果 发 生 海 哺 ， 那 么 整个 建筑 就 会 被 全 部 破坏 掉 。 因 此 ， 公 司 的 漏洞 是 非常 大 的 。 
然而 ， 在 公司 地 点 发 生 海啸 的 可 能 性 却 是 非常 低 的 。 因 此 ， 相 乘 之 后 ， 公 司 受 海啸 影响 
的 风险 是 很 低 的 。 以 同一 个 企业 做 例子 。 企 业 对 洪水 的 漏洞 是 很 高 的 。 同 时 ， 发 生 洪水 
可 能 性 也 是 很 高 的 。 等 式 的 两 个 因子 很 高 ， 结 果 是 风险 也 很 高 ， 这 就 需要 企业 业务 连续 
性 计划 者 给 予 重 视 。 

图 19-1 给 出 了 一 个 象限 图 ,用户 可 以 在 图 中 描绘 自己 的 计算 结果 ,包括 了 海 哺 和 洪 
水 的 例子 。 当 风险 落 在 第 一 象限 时 ， 就 要 求 更 多 的 注意 。 风 险 位 置 越 靠近 右上 部 ， 就 越 
需要 更 多 的 注意 。 对 第 二 ， 第 三 象限 的 风险 应 该 进行 分 析 ,， 并 且 要 采取 一 定 的 控制 手段 。 
落 在 第 四 象限 的 风险 ， 尽 管 不 能 完全 忽视 ， 但 基本 不 会 对 组 织 构成 太 大 的 风险 。 


9 - 19:2:2 一 实施 控制 = - 


\ 
Se ee Se eo ee ee ’ 


有 4 种 管理 风险 的 技术 : 风险 规避 (risk avoidance)、 风 险 降 低 (risk mitigation)、 
风险 接受 (risk acceptance) 以 及 风险 转移 (risk transference)， 当 然 也 可 以 综合 使 用 4 种 
方法 。 在 风险 分 析 和 漏洞 评估 过 程 中 , 企业 的 安全 团队 会 给 出 处 理 每 种 风险 的 策略 。BPC 
的 目标 就 是 对 策略 进行 分 析 ， 并 将 其 具体 化 为 可 被 执行 的 条 款 。 用 户 面 对 的 一 些 技术 上 
的 风险 可 以 通过 使 用 技术 控制 手段 (例如 访问 控制 系统 、 防 火 墙 和 入 侵 检测 系统 ) 来 减 
轻 。 其 他 的 风险 可 以 综合 教育 、 培 训 以 及 监视 系统 等 手段 来 减轻 。 另 外 ， 一 些 物理 风险 
(例如 由 洪水 构成 的 风险 ) 需 要 其 他 学 科 的 专家 例如 工程 师 和 建筑 师 ) 来 处 理 。 
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图 19-1 风险 评估 象限 图 
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BPC 是 一 个 动态 文件 。 随 着 组 织 的 不 断 变化 ， 组 织 所 面临 的 风险 也 会 不 断 改变 。 要 
定期 召开 BPC 开发 和 维护 人 员 的 会 议 , 保证 组 织 和 环境 中 的 变化 能 够 被 合理 处 理 , 不 会 
影响 企业 连续 性 控制 要 求 。 当 变化 发 生 的 时 候 ，BPC 必须 要 能 够 进行 灵活 调整 以 适应 新 
发 生 的 变化 。 


19.3 灾难 恢复 计划 


组 织 运用 灾难 恢复 计划 应 对 灾难 发 生 导致 的 组 织 操作 被 打 断 的 情况 。 这 个 过 程 通常 
由 灾难 恢复 计划 (DRP) 的 文档 来 描述 。DRP 有 以 下 3 个 主要 目标 。 

(1) 灾难 发 生 时 ， 快 速 替 换 处 理 设 施 保证 生产 的 连续 性 。 

(2) 为 替换 设施 提供 操作 维护 。 

(3) 灾难 解决 之 后 ， 帮 助 组 织 快速 恢复 原 有 设备 的 生产 操作 。 


@--19.3.1 选择 维护 团队 一、 

灾难 恢复 计划 最 重要 的 一 步 就 是 选择 一 支 专业 的 灾难 恢复 团队 。 在 规模 较 小 的 组 织 
里 ， 这 个 团队 由 少量 的 成 员 组 成 ， 担任 着 DRP 开发 和 维护 的 任务 ， 并 且 在 灾难 发 生 时 负 
责 计划 的 切实 执行 。 在 规模 较 大 的 组 织 中 ， 一 般 有 两 种 类 型 的 DRP 成 员 。 首 先 要 有 由 来 
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自 于 企业 各 个 职能 部 门 的 重要 代表 构成 的 一 个 中 央 委 员 会 , 负责 DRP 开发 和 维护 的 全 部 
任务 。 然 而 ， 在 灾难 发 生 的 实际 过 程 中 ， 由 这 个 委员 会 负责 所 有 的 计划 实施 任务 是 不 可 
行 的 。 因 此 ， 还 要 有 另外 一 些 员工 进行 ， 保 证 计划 顺利 执行 。DRP 组 成 员 在 组 织 内 部 的 
DRP 角色 只 是 他 们 的 次 要 角色 。 在 组 织 正 常 运作 期 间 ， 他 们 正常 工作 职能 是 放 在 第 一 
位 的 。 


@ - 19.3.2 ”制订 灾难 恢复 计划 一 

选择 灾难 恢复 团队 后 ， 接 下 来 是 设计 DRP。 用 户 应 当 确保 在 设计 计划 的 核心 团队 中 
包括 了 企业 中 所 有 重要 部 门 的 代表 。DRP 应 该 描述 在 灾难 发 生 时 如 何以 一 种 有 序 的 方式 
将 业务 转移 到 恢复 设备 中 。 应 该 把 灾难 恢复 计划 组 成 员 的 责任 具体 化 ， 并 且 要 同时 列 出 
执行 计划 时 所 需要 的 资源 和 灾难 恢复 设备 。 这 些 资 源 包括 以 下 内 容 。 

口 资金 资源 现金 支出 是 执行 这 个 计划 所 必须 的 。 

口 人 力 资源 来 自 于 整个 组 织 内 部 的 员工 需要 把 他 们 大 部 分 或 全 部 的 时 间 用 于 灾 

难 恢复 工作 。 
口 硬件 资源 “在 灾难 恢复 现场 可 能 会 需要 信息 处 理 系统 . 
口 软件 资源 对 于 企业 的 持续 运转 ， 软 件 和 数据 是 非常 重要 的 ， 必 须 及 时 传送 给 


灾难 恢复 设备 。 
选择 灾难 恢复 设备 是 灾难 恢复 计划 人 员 面 临 的 重要 挑战 ， 主 要 有 3 种 地 方 放置 灾难 
恢复 设备 。 


口 热门 地 点 (Hot sites) 包括 了 恢复 业务 运行 所 必需 的 全 部 硬件 、 软 件 和 数据 。 
灾难 发 生 后 ， 这 些 地 点 能 够 立刻 接管 生产 任务 。 

口 一 般 地 点 (Warm sites) 包括 了 恢复 业务 运行 所 必需 的 大 多 数 硬件 、 软 件 资 源 。 
灾难 发 生 后 ， 可 能 需要 几 个 小 时 或 是 几 天 的 时 间 从 备份 中 下 载 导入 数据 以 恢复 
组 织 的 全 部 处 理 功能 。 

口 冷门 地 点 (Cold sites) 并 没有 运行 企业 业务 所 必需 的 硬件 、 软 件 和 数据 资源 ， 
只 是 维护 着 企业 运行 必须 的 支持 系统 (电力 、 热 力 、 空 调 设施 、 安 全 设备 等 ) 
和 传送 业务 必须 的 通信 线路 。 冷 门 地 点 通常 需要 大 量 时 间 来 激活 (通常 以 星期 
或 月 来 衡量 )。 

@ -19.3.3 ”培训 和 测试 一 、 
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一 旦 用 户 为 自己 的 组 织 制 定 了 合适 的 DRP， 就 必须 建立 一 项 培训 计划 保证 所 有 和 
DRP 有 关 的 人 员 熟 悉 计 划 激 活 时 自己 所 承担 的 职责 。 大 多 数 的 组 织 通常 结合 多 种 方法 来 
实施 DRP 培训 ， 其 中 包括 以 下 两 种 培训 方法 。 

口 初始 培训 当 某 人 刚 进 入 组 织 内 部 的 灾难 恢复 部 门 时 ， 要 进行 这 种 培训 。 这 种 
全 面 培训 详细 地 介绍 了 每 一 个 人 明确 的 安全 责任 ， 提 供 了 关于 DRP 的 概述 。 

口 复习 培训 贯穿 于 雇员 在 企业 工作 的 整个 过 程 中 。 这 种 培训 用 来 提醒 员工 的 灾难 
恢复 责任 ， 保 证 他 们 已 经 做 好 了 在 灾难 中 断 的 企业 业务 运作 中 发 挥 作用 的 准备 。 


构建 企业 安全 实践 


这 种 教育 培训 方法 和 一 般 安全 策略 培训 很 类 似 。 培 训 项 目的 长 度 、 频 率 以 及 范围 应 
该 根据 每 个 人 在 DRP 中 所 承担 的 责任 来 进行 定制 。 

除了 正式 的 DRP 培训 项 目 ， 灾 难 恢复 团队 应 该 对 DRP 进行 周期 性 的 检测 。 下 面 给 
出 了 常见 的 DRP 检测 : 行动 列表 检查 、 桌 面 练习 、 软 件 测试 及 硬件 测试 。 


1 行动 列表 检查 


行动 列表 检查 是 最 简单 的 一 种 DRP 检测 ,行动 列表 为 灾难 响应 小 组 的 成 员 提 供 了 行 
动 指 导 。 行 动 列表 检测 过 程 中 ， 灾 难 恢复 团队 的 目的 有 两 个 :明确 自己 所 执行 任务 的 细 
节 ; 检查 计划 是 否 满足 组 织 当 前 的 业务 需要 。 

组 织 的 行动 列表 检查 有 不 同 的 方式 。 一 种 是 要 求 整个 灾难 恢复 团队 聚 在 一 起 执行 检 
查 过 程 。 另 一 种 是 根据 员工 的 DRP 角色 及 企业 角色 分 小 组 进行 。 在 实际 中 ， 行动 列表 检 
查 是 基于 个 人 基础 进行 的 ， 应 按照 一 定 的 规程 并 及 时 给 出 反馈 ， 以 进一步 对 列表 进行 
修改 。 


2. 桌面 练习 


更 深层 次 的 DRP 检测 是 桌面 练习 。 在 这 种 检测 中 , 灾难 恢复 团队 成 员 一 起 叙述 一 个 
特定 的 灾难 情景 。 通 常情 况 下 ， 主 持 人 会 描述 一 个 假设 的 灾难 情景 ， 参 加 者 就 灾难 发 生 
时 应 该 做 成 的 行动 给 出 讨论 。 这 些 讨 论 使 团队 成 员 有 机 会 考虑 很 多 特定 的 情景 以 及 在 特 
定 场景 下 应 该 采取 的 措施 。 

3. 软件 测试 


软件 测试 ， 比 桌面 练习 的 程度 更 深 了 一 步 。 在 这 种 评估 中 ， 灾 难 恢复 团队 成 员 对 灾 
难 做 出 实际 响应 ， 并 且 真 正 激活 组 织 的 灾难 恢复 设备 。 送 往 设备 的 数据 流 被 激活 ， 但 是 
恢复 场所 并 不 承担 组 织 的 全 部 操作 责任 。 这 个 站 点 仅仅 是 在 特定 的 时 间 段 内 同 生产 设备 
同时 运行 。 

软件 测试 真正 测试 了 将 要 在 灾难 处 理 过 程 中 被 使 用 的 硬件 和 软件 资源 ， 给 出 了 DRP 
中 描述 的 操作 过 程 在 实际 应 用 中 的 反馈 ， 但 同时 也 增加 了 成 本 。 软 件 测试 要 求 在 时 间 和 
资源 上 有 更 多 的 投资。 

4. 硬件 测试 


硬件 测试 ， 有 时 又 被 称 为 完全 中 断 测试 ， 对 企业 的 影响 最 大 ， 因 此 很 少 被 使 用 。 在 
这 种 类 型 的 测试 中 ， 灾 难 恢复 团队 关闭 运行 的 生产 设备 ， 尝 试 在 灾难 恢复 设备 上 恢复 运 
行 操作 。 测 试 结束 的 时 候 ， 团 队 将 控制 交 回 给 生产 设备 ， 模 拟 灾难 真正 发 生 时 的 过 程 。 

尽管 硬件 测试 极其 昂贵 ， 对 企业 运行 所 产生 的 影响 十 分 巨大 ， 但 有 时 候 仍然 被 一 些 
组 织 所 使 用 。 这 些 组 织 的 责任 十 分 巨大 ， 必 须 确保 在 真正 的 灾难 发 生 之 后 能 够 成 功 恢复 
组 织 的 运行 。 
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@ - 19.3.4 实施 计划 -- 

在 企业 的 整个 生命 历程 中 ， 总 会 遇 到 某 些 意 想 不 到 的 灾难 发 生 。 毫 无 疑问 ， 在 这 个 
时 候 ， 企 业 的 状况 肯定 是 杂乱 不 堪 的 。 企 业 员工 很 可 能 会 质疑 组 织 继续 存在 的 能 力 ， 他 
们 自己 的 生命 和 财产 很 可 能 会 处 于 危险 之 中 。 所 有 这 些 情况 要 求 用 户 的 DRP 应 用 规程 必 
须 是 最 有 效 最 容易 操作 的 。 

DRP 计划 应 该 定义 出 灾难 第 一 响应 人 应 该 采取 的 行动 。 例 如 ， 一 个 程序 员 在 收看 新 
闻 的 时 候 看 到 一 个 附近 的 火山 就 要 爆发 ， 那 么 他 就 是 灾难 的 第 一 响应 人 。 当 洪水 正在 冲 
击 一 座 电厂 的 时 候 ， 值 班 人 员 就 要 负 起 灾难 恢复 的 责任 。 组 织 里 的 每 一 个 人 当 他 们 意识 
到 自己 最 先 注意 到 一 场 灾 难 即将 发 生 的 时 候 ， 都 应 当知 道 遵守 的 规程 。 

DPR 的 应 用 可 以 对 组 织 产生 重大 作用 。 因 此 ， 不 能 允许 组 织 里 的 任意 一 个 人 独自 宣 
布 灾难 的 发 生 。 通 常 是 组 织 的 高 级 管理 人 员 可 以 做 出 这 种 判断 ， 因 此 要 保证 能 够 随时 联 
系 到 他 们 ， 从 而 快速 做 出 决定 。 宣 布 灾难 发 生 后 ， 灾 难 恢复 小 组 应 该 迅速 集合 ， 及 时 采 
取 措施 恢复 组 织 运行 。 
9 --19.3.5” ”计划 的 维护 一 、 
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灾难 恢复 计划 是 一 个 动态 的 计划 ， 需 要 服从 于 企业 的 变化 。 灾 难 恢复 小 组 的 成 员 关 
系 ， 行 动 规程 ， 以 及 使 用 工具 都 会 随 着 时 间 变 化 ，DRP 应 该 足够 灵活 以 适应 这 些 变化 。 

灾难 恢复 小 组 应 该 依照 行动 列表 和 组 织 规程 来 建立 。 这 样 能 够 保证 在 突如其来 的 灾 
难 面前 采取 冷静 有 效 的 措施 。 这 些 列表 必须 不 断 被 更 新 。 对 灾难 恢复 计划 进行 维护 最 好 
的 方法 是 不 断 地 进行 检测 ， 使 用 各 种 技术 对 其 进行 评估 。 首 先进 行 测试 ， 然 后 不 断 总 结 
在 每 一 次 测试 的 优点 和 不 足 ， 利 用 这 些 测试 获得 的 珍贵 反馈 来 执行 DRP 维护 。 


1 数据 分 类 


数据 分 类 系统 向 用 户 提供 了 一 种 将 敏感 信息 分 级 的 方法 ， 并 且 以 一 种 连续 的 方式 向 
不 同 敏感 程度 的 数据 提供 适度 的 保护 。 下 面 介绍 了 访问 机 密 信息 的 两 种 预备 知识 ， 并 且 
介绍 了 目前 常见 的 两 种 分 类 系统 。 


@ -19:4:1 一 安全 许可 ~--、 

在 一 个 使 用 数据 分 级 程序 的 组 织 中 ， 对 于 被 授权 访问 机 密 信息 人 员 最 基本 的 要 求 就 
是 必须 要 拥有 安全 许可 。 在 一 些 组 织 中 ， 确 定安 全 许可 是 极其 严格 的 过 程 ， 要 求 严格 的 
背景 调查 、 测 谎 测试 以 及 安全 契约 的 执行 。 在 其 他 一 些 组 织 中 ， 如 果 员 工 同意 了 保密 契 
约 ， 安 全 许可 就 能 够 根据 职位 自动 被 授予 。 

安全 许可 通常 有 不 同 的 层次 ， 明 确 指出 了 一 个 用 户 被 授权 访问 的 信息 的 最 大 敏感 程 
度 。 安 全 许可 同样 授予 一 部 分 特殊 的 人 可 以 访问 特定 的 敏感 数据 。 


构建 企业 安全 实践 


安全 许可 应 该 只 被 授予 那些 极其 需要 来 完成 正常 指定 工作 的 人 。 另 外 ， 应 该 定期 检 
查 组 织 分 支 的 许可 状态 。 如 果 一 个 人 不 需要 访问 机 密 信 息 来 完成 他 的 工作 ， 访 问 权 限 就 
应 该 被 撤销 ， 直 到 被 重新 需要 为 止 。 


他 - 中 952=s 知 : 知 宽 =- -、 

安全 许可 只 是 访问 机 密 信息 的 两 个 必要 条 件 之 一 。 第 二 个 是 用 户 需要 知道 为 了 完成 
特定 的 工作 任务 需要 哪些 具体 的 机 密 信息 。 尽 管 安全 许可 提供 了 访问 大 量 机 密 信息 的 权 
限 ( 例 如， 所 有 的 “秘密 ”数据 )， 但 是 内 容 须 知 need-to-know) 把 访问 的 范围 缩小 到 
了 完成 任务 所 必须 的 那 部 分 内 容 上 。 

通常 安全 许可 的 实施 过 程 发 生 在 组 织 的 中 心地 点 (通常 是 安全 办 公 室 )。 这 个 办 公 
室 负责 授予 、 维 护 以 及 撤销 安全 许可 。 然 而 ， 内 容 须知 的 确定 通常 是 由 负责 监管 特定 机 
密 信息 的 个 人 来 执行 的 。 当 被 要 求 访问 机 密 信息 时 ， 监 管 者 必须 确定 访问 者 的 身份 ， 核 
实 他 们 的 安全 许可 ， 决 定 这 个 人 是 否 具有 正当 的 需求 可 以 访问 想 要 获知 的 信息 。 如 果 访 
问 者 对 内 容 须知 一 无 所 知 ， 监 管 者 就 必须 拒绝 这 样 的 访问 。 


@ - 19:4:3” 分 类 系统 一 - 
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有 两 种 主要 的 数据 分 类 系统 一 一 种 用 在 政府 部 门 ， 另 一 种 用 在 个 人 企业 中 。 大 多 
数 情况 下 ， 政 府 部 门 使 用 的 分 类 系统 比 私人 企业 使 用 的 分 类 系统 的 限制 性 更 强 。 


1. 政府 数据 分 类 系统 


美国 政府 使 用 强制 访问 控制 系统 。 每 一 份 机 密 资 料 被 分 配 一 个 特定 的 安全 等 级 ， 根 

据 不 同 的 安全 等 级 为 其 提供 适度 的 安全 保护 。 美国 政府 将 机 密 信息 分 为 5 级 ,分 别 如 下 。 
口 绝密 (Top Secret) 这 个 级 别 的 信息 一 旦 泄露 ， 会 对 国家 安全 造成 异常 严重 的 

破坏 。 

秘密 (Secret) 信息 一 旦 泄露 ,会 对 国家 安全 造成 严重 破坏 。 

机 密 〈(Confidential) 信息 一 旦 泄露 ， 会 对 国家 安全 造成 破坏 。 

口 敏感 (sensitive but Unclassified) 这 种 信息 的 泄露 不 一 定 会 对 国家 的 安全 造成 
破坏 ， 但 政府 却 应 该 对 其 进行 保护 。 例 如 ， 个 人 税收 记录 、 部 分 公开 的 企业 信 
息 以 及 合同 谈判 的 细节 信息 等 。 

口 公开 〈Unclassified) 不 需要 保护 ， 可 以 自由 分 配 的 信息 。 


2. 企业 数据 分 类 系统 


企业 数据 分 类 系统 通常 不 如 政府 分 类 系统 复杂 ， 但 同样 具有 分 级 系统 和 访问 控制 。 
企业 数据 级 别 分 为 以 下 4 种 。 
口 商业 秘密 (Trade Secret) 构成 组 织 核心 秘密 的 信息 。 这 类 信息 通常 不 受 正式 
知识 产权 系统 的 保护 (例如 专利 、 著 作 权 )， 相 反 ， 企 业 的 管理 者 使 用 内 部 控制 
来 保护 这 些 信 息 免 受 非 授权 的 泄露 。 


口 
口 
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口 公司 机 密 (Company Confidential /Proprietary) 指 那 些 企业 不 希望 发 放 到 公共 
领域 的 信息 ， 但 敏感 性 比 商业 秘密 信息 差 一 点 。 
口 公开 信息 (Unclassified) 公司 不 要 求 保护 的 信息 ， 可 以 向 外 界 公开 。 
坚持 对 信息 进行 合理 分 类 是 非常 重要 的 。 尤其 在 自身 知识 产权 维护 的 事件 中 。 例如 ， 
公司 认为 某 条 信息 是 商业 机 密 ， 但 并 没有 明确 地 标注 出 来 ， 那 么 一 个 前 任 员工 就 可 以 把 
这 条 信息 透漏 其 他 人 ， 然 后 宣布 并 不 知道 这 是 一 个 商业 机 密 。 


习 题 
, A. 热门 地 点 B. 冷门 地 点 
一 、 选 择 题 C. 安全 地 点 D. 一 般 地 点 
1. 常见 的 DRP 检测 类 型 有 清单 检查 、 软 件 二 、 问 答题 
测试 、 硬 件 测试 以 及 下 列 哪 一 项 ? 《 ) 
A. 前 期 培训 B. 桌面 练习 1. 简 述 企业 业务 持续 性 计划 的 影响 。 
C.， 初始 训练 D. 复习 训练 2. 简 述 灾难 恢复 计划 如 何 恢复 被 灾难 中 断 
2. 灾难 恢复 的 3 种 主要 替换 处 理 设施 不 包 ”的 服务 。 
括 下 列 哪 一 项 ? ( 3. 思考 如 何 建立 一 个 坚固 的 企业 案例 。 
全 
课 后 实践 与 思考 


Windows Server 2003 灾难 恢复 实例 


通过 Windows Server 2003 的 备份 工具 进行 服务 器 数据 的 备份 和 还 原 操作 , 以 便 在 服 
务 器 发 生 灾 难 后 能 够 迅速 有 效 的 恢复 。 首 先 介 绍 服务 器 灾难 的 定义 和 灾难 恢复 的 要 求 ， 
演示 利用 备份 工具 进行 备份 和 还 原 操作 的 方法 ， 同 时 还 介绍 利用 安全 模式 和 故障 恢复 控 
制 台 来 启动 服务 器 ， 解 决 服务 器 软件 故障 的 方法 。 

一 、 灾 难 恢复 介绍 


1. 服务 器 灾难 
服务 器 灾难 是 指 服务 器 由 于 硬件 或 存储 媒体 软件 的 突 发 故障 而 导致 发 生 灾 难 性 的 数 
据 丢 失 ， 可 能 如 下 。 
口 操作 系统 无 法 启动 。 
用 户 数据 文件 丢失 或 已 被 破坏 。 
在 安装 新 的 应 用 程序 之 后 ， 系 统 不 稳定 或 应 用 程序 运行 不 正常 。 
在 更 新 硬件 设备 驱动 程序 之 后 ， 用 户 虽然 可 以 登录 ， 但 系统 不 稳定 。 
在 安装 新 的 硬件 设备 之 后 ， 系 统 不 稳定 。 
灾难 恢复 过 程 
执行 书面 的 灾难 恢复 计划 。 
更 换 任 何 损坏 的 硬件 。 
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恢复 数据 。 

恢复 运行 前 ， 测 试 全 部 硬件 和 软件 。 

准备 灾难 恢复 的 指导 方针 

创建 灾难 恢复 计划 以 执行 定期 备份 操作 。 

测试 备份 文件 和 备份 计划 。 

保留 两 个 备份 集 : 一 个 在 现场 ， 易 于 访问 ; 一 个 在 异地 ， 保 证 安全 。 
创建 一 个 系统 状态 数据 的 元 余 副 本 。 


二 、 数 据 备份 


已 和 电 久生 总 


数据 和 信息 是 网 络 中 最 有 价值 的 部 分 ， 如 果 能 够 做 到 定期 及 时 的 备份 数据 ， 那 么 在 
发 生 数 据 丢失 时 ， 可 以 用 还 原 功能 及 时 恢复 数据 ， 把 损失 减少 到 最 低 。 

1. 备份 的 概念 

所 谓 数据 备份 就 是 把 数据 从 一 个 位 置 向 另 一 个 位 置 复 制 的 过 程 。 数 据 备份 和 第 5 章 
介绍 的 RAID 容错 都 有 在 数据 出 错时 恢复 数据 的 功能 ， 但 两 者 是 不 同 的 概念 。RAID 容 
错 实际 上 是 在 硬盘 上 保留 数据 的 元 余 ， 元 余 的 数据 没有 经 过 任何 处 理 ， 和 原始 数据 完全 
一 样 ， 其 好 处 是 可 以 降低 计算 机 发 生 故 障 的 风险 。 备 份 是 将 重要 数据 保留 在 其 他 存储 媒 
体 上 ， 如 磁盘 、 磁 带 、 光 盘 等 ， 在 备份 过 程 中 数据 可 以 被 压缩 ， 当 系统 发 生 故 障 时 通过 
还 原 功 能 将 数据 恢复 到 硬盘 上 。 为 了 提高 数据 的 安全 性 , 重要 数据 还 需要 进行 异地 备份 ， 
以 防止 因为 自然 灾害 等 原因 造成 数据 丢失 。 

2. 备份 的 操作 者 

只 有 Administrators、Backup operators 和 Server operator 组 的 成 员 人 允许 备份 本 机 数据 。 
同时 备份 操作 用 户 对 硬盘 的 访问 不 能 受 磁盘 配额 的 限制 ， 否 则 将 无 法 备份 数据 。 

3. Windows 通过 文件 的 存档 属性 判断 是 否 需 要 备份 

用 于 判断 文件 是 否 应 该 被 备份 。 当 文件 创建 或 修改 后 ， 其 存档 属性 被 设置 ， 一 般 来 
说 ， 当 它 被 备份 后 ， 存 档 属性 被 清除 。 

可 以 打开 文件 或 文件 夹 的 属性 对 话 框 ， 单 击 “ 常 规 ” 选 项 卡 中 的 “高 级 ”按钮 ， 来 
查看 其 当前 的 存档 属性 ， 如 图 19-2 所 示 。 

4. 备份 类 型 

Windows Server 2003 提供 了 5 种 备份 类 型 ， 满 足 不 同 的 备份 要 求 ， 包 括 正常 备份 、 
副本 备份 、 增 量 备份 、 差 异 备份 和 每 日 备份 。 

(1) 正常 备份 

普通 备份 主要 用 于 备份 所 有 选 定 的 文件 ， 而 不 考虑 这 些 选 定 的 文件 是 否 被 设置 为 存 
档 属 性 ， 并 且 在 完成 备份 之 后 清除 这 些 文件 的 存档 属性 ， 即 标记 为 已 备份 。 

(2) 副本 备份 

备份 所 有 选 定 的 文件 ， 但 不 标记 这 些 文件 为 已 备份 ， 即 不 清除 文件 的 存档 属性 ， 所 
以 可 以 在 副本 备份 后 ， 对 文件 执行 其 他 备份 。 
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高 级 尾 性 7 


| 四 计生 择 用 于 该 六 件 的 选项 。 


压缩 或 加 密 属性 

厂 压缩 内 容 以 便 节 省 磁盘 空间 人 ) 

厂 加 密 内 容 以 便 保 护 数据 到 ) 详细 信息 甸 ) | 
| 


图 19-2 高 级 属性 


(3) 增 量 备份 

备份 自 上 次 正常 或 增 量 备份 以 来 新 创建 或 修改 的 文件 ， 并 标记 文件 为 已 备份 。 因 此 
该 备份 方法 所 需要 的 存储 空间 最 少 ， 并 节省 备份 时 间 。 通 常 和 正常 备份 结合 使 用 ， 恢 复 
时 需要 正常 备份 集 和 所 有 之 后 的 增 量 备份 集 。 

(4) 差异 备份 

用 于 备份 自 上 次 正常 或 增 量 备份 以 来 所 新 创建 或 修改 的 文件 ， 不 清除 文件 的 存档 属 
性 ， 即 不 标记 文件 为 已 备份 。 和 正常 备份 结合 使 用 ， 恢 复 时 需要 正常 备份 集 和 最 后 一 次 
差异 备份 集 。 


(5) 每 日 备份 

备份 当天 更 改过 的 所 有 选 定 文件 ， 备 份 不 清除 文件 的 存档 属性 ， 即 不 将 备份 后 的 文 
件 标记 为 已 备份 。 

5. 备份 策略 


进行 数据 备份 时 ， 希 望 能 尽量 少 的 占用 服务 器 和 网 络 资源 ， 在 进行 数据 还 原 时 ， 希 
望 能 尽量 在 最 短 的 时 间 内 完成 。 不 同 的 备份 类 型 有 不 同 的 特点 和 长 处 ， 有 的 备份 方法 在 
备份 数据 时 会 花 较 多 的 时 间 ， 但 在 还 原 数据 时 花 的 时 间 较 少 ， 而 有 的 备份 方法 则 正好 相 
反 。 在 实际 工作 中 ， 要 根据 备份 的 数据 量 、 重 要 性 、 备 份 周期 等 来 确定 合适 的 备份 策略 。 
好 的 备份 策略 是 几 种 备份 方法 的 组 合 。 

(1) 正常 备份 + 增 量 备份 

青 景 描述 ， 小 张 需要 对 服务 器 的 数据 进行 备份 ， 但 备份 用 的 磁盘 空间 比较 紧张 ， 且 
服务 器 比较 可 靠 ， 还 原 操作 比较 少 用 。 所 以 他 希望 能 采用 一 种 比较 节约 磁盘 空间 和 备份 
时 间 的 备份 策略 。 

备份 方案 : 周一 进行 一 次 正常 备份 ， 周 二 至 周 五 每 天 进行 一 次 增 量 备份 。 
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恢复 时 : 先 恢复 周一 数据 ， 再 按 顺 序 恢复 每 天 的 增 量 备 份 数据 。 

优点 : 节约 存储 空间 和 备份 时 间 。 

缺点 ， 恢复 时 操作 复杂 。 

(2) 正常 备份 + 差异 备份 

情景 描述 :小 张 需要 对 服务 器 的 数据 进行 备份 ， 考 虑 到 可 能 要 经 常 进行 还 原 操作 。 
所 以 他 希望 能 采用 一 种 还 原 操作 很 方便 的 备份 策略 。 

备份 方案 : 周一 进行 一 次 正常 备份 ， 周 二 至 周 五 每 天 进行 一 次 差异 备份 。 

恢复 时 : 先 恢复 周一 数据 ， 再 恢复 最 后 一 天 的 差异 备份 数据 。 

优点 :恢复 方便 。 

缺点 ， 备 份 时 需要 较 多 的 存储 空间 和 时 间 。 

6. 备份 操作 

(1) 手工 备份 

下 面 以 备份 C:\Documents 文件 夹 为 例 介 绍 使 用 备份 工具 的 步骤 。 

Q@ 单 击 “ 开 始 ” 一 “程序 ”一 “附件 ”一 “系统 工具 ”一 “备份 ”命令 。 

@ 选择 高 级 模式 ， 在 其 中 选择 “备份 向 导 ” 如 图 19-3 所 示 。 


双 备份 工具 - [无 标题 ] 


图 19-3 选择 “备份 向 导 ” 


@ 如 图 19-4 所 示 ， 选 择 “ 备 份 选 定 的 文件 、 驱 动 器 或 网 络 数 据 ” 单 选 按钮 ， 然 后 


选中 需要 备份 的 文件 或 文件 夹 。 
@ 输入 备份 文件 的 存储 位 置 和 文件 名 。 
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备份 向 导 x 
要 备份 的 内 容 
可 指定 想 备份 的 项 目 。 加 
选择 要 备份 的 内 容 : 


个 各 检讨 所有 项 上 Q) 整个 系统 的 数据 文件 
入 人 可 汞 5 各 站 内 备份 选 定 的 文件 
只 和 从 操作 系统 的 配置 数据 ， 如 注册 表 等 


《上 一 步 @) 取消 | 
图 19-4 选择 要 备份 的 内 容 
@ 在 “备份 向 导 ” 对 话 框 中 ， 单 击 “ 高 级 ”按钮 ， 如 图 19-5 所 示 。 


完成 备份 向 导 


创建 了 下 列 备 份 设置 


六 述 集 创 建 于 2007-8-10, 13:06 
内 容 只 备份 某 些 文件 、 文 件 买 或 驱动 器 
位 置 文件 


混 体 C:\share_Backup_07_8_10. bkf 
时 间 立即 
关闭 验证 ， 不 使 用 硬件 庄 奖 ， 附 加 到 | 守 的 
媒体 上 ， 普 通 备份 。 


要 关闭 这 个 向 导 并 开始 备份 ， 请 单 击 “ 充 成 ”。 


要 的 和 从 壬 项 计时 击 “ > 
改 


《上 -上 [CE we | 


图 19-5 完成 备份 向 导 


@ 选择 备份 类 型 。 

@ 在 如 何 备份 中 ， 决 定 备份 后 是 否 验 证 数据 。 

在 备份 选项 中 ， 选 择 附 加 或 蔡 换 原 有 的 备份 。 

口 将 这 个 备份 附加 到 现 有 备份 ”将 本 次 备份 的 数据 附加 到 上 一 次 备份 的 数据 之 
后 ， 保 存在 同一 个 备份 文件 。 
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口 替换 现 有 备份 ”本 次 备份 的 数据 将 履 盖 原来 备份 的 数据 。 
@ 在 备份 时 间 中 ， 选 择 现 在 进行 备份 。 
注 : 也 可 以 不 使 用 向 导 , 而 直接 在 “备份 工具 ”对 话 框 中 进行 操作 。 此 时 可 以 在 “ 工 
具 ” 菜 单 的 “选项 ”对 话 框 中 设置 备份 选项 等 。 

(2) 自动 备份 

情景 描述 :小 张 每 天 都 要 对 服务 器 数据 进行 一 次 备份 操作 。 如 果 用 手工 操作 ， 费 时 
费力 ， 而 且 容易 遗忘。 

解决 方案 : 利用 备份 工具 的 自动 备份 功能 ， 每 天 在 特定 时 间 进 行 一 次 备份 。 

@ 前 期 操作 同 手工 备份 中 的 1 一 8， 在 第 9 步 中 选择 “以 后 ” 单 选 按钮 。 

@ 输入 一 个 作业 名 ， 并 单 击 “ 设 定 备份 计划 ”按钮 ， 如 图 19-6 所 示 。 


备份 时 间 
可 现在 运行 备份 或 计划 以 后 再 运行 。 


图 19-6 设置 备份 时 间 


@ 如 图 19-7 所 示 , 在 “计划 作业 ”对 话 框 中 ， 选 择 “每 日 ”， 并 可 单 击 “ 高 级 ” 
按钮 进行 更 多 的 设置 ， 还 可 以 在 “设置 ”选项 卡 中 进行 进一步 的 管理 。 

@ 在 “设置 账户 信息 ”对 话 框 中 ， 输 入 能 够 完成 备份 操作 的 用 户 的 用 户 名 和 密码 。 

注 : 完成 操作 后 ， 可 以 在 系统 的 计划 任务 中 看 到 建立 的 自动 备份 作业 。 

(3) 还 原 操作 

当 系 统 发 生 故障 或 其 他 意外 情况 时 ， 可 以 利用 还 原 功 能 恢复 以 前 备份 的 数据 ， 这 样 
可 以 减少 损失 。 具 体 步骤 如 下 。 

@ 在 “备份 工具 ”对 话 框 中 ， 选 择 “ 还 原 向 导 ”。 


CD 


Cn 
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19-7 计划 作业 


@ 选择 要 还 原 的 文件 和 文件 夹 的 目标 位 置 ， 如 图 19-8 所 示 。 
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日 TL 1 2007-6" 


| 备份 文件 中 有 两 个 备份 的 数据 


图 19-8 选择 要 还 原 的 项 目 


@ 在 完成 对 话 框 中 ， 单 击 “ 高 级 ”按钮 ， 如 图 19-9 所 示 。 

@ 选择 还 原 位 置 ， 如 图 19-10 所 示 。 

口 原 位 置 、 将 备份 文件 还 原 到 原来 的 文件 夹 中 。 

口 备用 位 置 、 将 备份 文件 还 原 到 另 一 个 文件 夹 中 。 当 用 户 不 想 改变 原文 件 夹 中 的 
当前 内 容 时 可 以 使 用 此 项 。 

口 单个 文件 夹 ”将 备份 文件 还 原 到 单一 文件 夹 中 ， 不 保留 原来 备份 文件 夹 和 文件 
的 结构 。 


完成 还 原 向 导 


已 成 功 完 成 还 原 咎 学 。 您 指定 了 下 列 设 置 


还 原 自 文件 

姓 体 Share_Baclop_ bkf 自 了 于 2007-6-10 
还 厚 到 原 位 置 

现 有 文件 - 不曾 热 


要 关闭 这 个 向导 并 开始 还 原 ， 请 单 击 “ 充 成 ”。 
要 指定 其 地 选项 ， 请 单 击 “ 高 明 ” dD 
< -SW| ZX 或 | 职 滑 


图 19-9 完成 还 原 向 导 


还 原 位 置 
所 这 的 文件 和 文件 天 被 还 原 到 用 定 的 目标 硬 
:各 一 


mm | 


19-10 选择 还 原 位 置 


@@ 选择 如 何 还 原 ， 如 图 19-11 所 示 。 
口 保留 现 有 文件 最 安全 的 作法 。 
口 如 果 现 有 文件 比 备份 文 件 旧 ， 将 其 替换 可 以 保证 计算 机 上 的 是 最 新 副本 。 
口 替换 现 有 文件 不 保留 现 有 的 文件 。 
@ 当 完 成 还 原 向 导 后 ， 就 会 开始 进行 还 原 操作 了 ， 如 图 19-12 所 示 。 
(4) 服务 器 故障 恢复 
当 服 务 器 因 系统 或 用 户 操作 错误 而 导致 系统 工作 不 正常 甚至 系统 崩溃 时 ， 可 以 使 用 
一 些 系统 还 原 的 方法 来 尝试 让 系统 恢复 到 正常 状态 。 


377 


信息 安全 技术 教程 
ET x 


加 何 还 原 
选择 如 何 还 原 已 经 在 计算 机 上 的 文件 。 
2 县 二 


还 原 计算 机 上 已 存在 的 文件 时 人 @) 
可 

个 如 果 现 有 文件 比 备份 文件 旧 ， 格 其 葵 执 下) 
个 蔡 换 现 有 文件 下) 


《< 上 一 步 @) | 下 一 步 中 | 取消 


19-11 选择 如 何 还 原 


还 原 进度 
已 完成 还 原 。 


要 参阅 详细 信息 ， 请 单 击 “报告 ”。 
驱动 器 : EE: 

标签 : [hre_Baclkup. bkf 创建 于 2007-8-10, 15; 
状态 : 硅 成 


已 用 时 间 : 估计 剩余 时 间 : 
时 间 : | 2 黎 

已 处 理 : 估计 : 
X= 


19-12 ”开始 还 原 


Q@ 使 用 安全 模式 。 

情景 描述 :公司 服务 器 因为 配置 错误 或 驱动 错误 等 原因 无 法 正常 启动 ， 于 是 管理 员 
决定 使 用 安全 模式 启动 计算 机 ， 以 便 更 改 系 统 配置 来 排除 错误 。 

操作 方法 : 启动 时 按 F8 键 进入 ， 如 图 19-13 所 示 。 


TR 

锐 萝 ) 

于 国安 全 模式 只 启动 基本 设备 和 驱动 程序 ， 操 作 系 统 使 用 系统 默认 设置 ， 利 用 安全 模式 启动 
后 ， 可 以 通过 修改 注册 表 、 修 改 系统 配置 、 重 新 安装 驱动 程序 等 来 解决 系统 故障 。 


构建 企业 安全 实践 


@ 故障 恢复 控制 台 。 
情景 描述 : 管理 员 小 张 发 现 服务 器 使 用 安全 模式 也 无 法 启动 ， 这 时 可 以 通过 故障 恢 
复 控制 台 来 引导 系统 ， 尝 试 修正 系统 故障 。 


图 19-13 系统 启动 
操作 方法 : 
方法 1: 插入 安装 光盘 ， 使 用 光盘 启动 后 选择 故障 恢复 控制 台 模式 ， 如 图 19-14 
所 示 。 


Enter= 继 续 R= 修复 F3= 退 
图 19-14 ”选择 恢复 模式 
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方法 2: 也 可 以 事先 在 硬盘 上 安装 故障 恢复 控制 台 。 其 安装 方法 :插入 Windows server 
2003 安装 光盘 ,然后 运行 光盘 的 1386 文件 夹 中 的 winnt32.exe 程序 (“winnt32/cmdcons”)。 

图 使 用 “自动 系统 故障 恢复 准备 向 导 ” 修 复 系统 。 当 前 两 种 方法 都 不 能 修复 系统 时 ， 
可 以 选择 还 原 所 有 的 启动 卷 和 系统 卷 ， 这 要 求 事先 有 所 有 卷 的 备份 。 一 般 重要 的 服务 器 
都 要 求 对 整个 系统 进行 备份 ， 包 括 所 有 的 启动 卷 和 系统 卷 。 但 这 种 方法 需要 花费 很 多 的 
时 间 。 

管理 员 可 以 事先 创建 “自动 恢复 ”软盘 ， 并 备份 系统 数据 ， 当 系统 崩溃 时 ， 用 它们 
来 恢复 系统 。 管理 员 可 以 使 用 Windows Server 2003 的 备份 工具 来 创建 “自动 恢复 ”软盘 
和 备份 系统 数据 。 

注 : 系统 数据 备份 只 能 备份 Windows Server 2003 所 在 分 区 的 数据 。 

下 面 是 使 用 “自动 系统 故障 恢复 准备 向 导 ” 备 份 系统 数据 的 步骤 。 

GD 打开“ 备份 ”工具 ， 选 择 “ 自 动 系统 恢复 向 导 ”。@ 在 “备份 目的 地 ”中 ， 输 入 文 
件 来 存放 系统 数据 。@ 单 击 “ 完 成 ”按钮 ， 开 始 复制 系统 数据 。@ 最 后 按 要 求 插入 空白 
软盘 ， 完 成 后 给 出 如 图 19-15 所 示 的 提示 对 话 框 。( 如 果 服 务 器 没有 软驱 ， 可 以 将 
“6systemroot%\repair” 目 录 中 的 asr.sif 和 asrpnp.sif 文件 复制 到 具有 软驱 的 其 他 计算 机 
上 ， 然 后 将 这 些 文件 复制 到 软盘 。) 


3 ， 取出 磁盘 ,将 其 标 为 ; 
~ ASR_Backup_12-10-03. bkf 创建 于 2005-10-5，12:55 的 Windows 自动 系统 恢复 磁盘 
将 其 保存 在 一 个 安全 的 地 方 ， 以 便 需 要 用 Windows 自动 系统 恢复 来 还 原 系统 。 


图 19-15 “备份 工具 ”提示 框 


使 用 备份 数据 恢复 系统 的 步骤 如 下 。 
外 使 用 Windows Server2003 安装 光盘 启动 系统 ,根据 系统 提示 按 R 键 选择 “修复 或 
者 恢复 ”。@ 然 后 按 DD 键 ， 选 择 “ 自 动 系统 恢复 ”。@ 根 据 系统 提示 操作 。 


实例 小 结 


没有 任何 一 个 系统 是 绝对 安全 可 靠 的 ， 服 务 器 随时 可 能 因为 硬件 或 软件 的 突 发 故障 
而 导致 灾难 性 的 数据 丢失 。 对 关键 数据 的 及 时 备份 ， 是 保证 系统 和 数据 安全 的 重要 手段 ， 
是 服务 器 管理 工作 中 必 不 可 少 的 一 部 分 。Windows 操作 系统 为 文件 夹 和 文件 提供 “存档 ” 
属性 ， 作 为 备份 的 依据 。 备 份 类 型 包括 正常 备份 、 副 本 备份 、 增 量 备份 、 差 异 备 份 、 每 
日 备份 。 需 要 根据 要 备份 数据 的 内 容 制订 合理 的 备份 策略 ， 如 正常 备份 和 差异 备份 相 结 
合 、 正 常备 份 和 增 量 备 份 相 结合 等 策略 。 备 份 操作 通常 使 用 系统 的 备份 工具 来 完成 ， 可 
以 是 手工 备份 或 自动 备份 。 发 生 数 据 丢失 后 ， 可 以 使 用 备份 还 原 工 具 来 进行 数据 还 原 。 

如 果 因 为 管理 员 错误 的 配置 、 错 误 的 驱动 程序 等 原因 造成 服务 器 不 能 正常 启动 或 正 
常 使 用 时 ， 可 以 用 安全 模式 、 系 统 还 原 、 故 障 恢复 控制 台 等 方法 来 尝试 修复 系统 。 


组 织 名 称 
SANS 


SecurityFocus 
CommonVulnerabilities 
andExposure 

CERT Coordination Certer 
Securia 


附录 A 


附 表 A-1 维护 常见 安全 漏洞 列表 的 网 站 


排 在 SANS/FBI 前 20 的 漏洞 


网 站 地 址 描述 
http://www.sans.org/top20 列表 
http://www.seturityfocus.com/bid 


http://www.cev.mitre.org 


http://www.cert.org/nav/index-red.html 


http://securia.com 


软件 漏洞 事实 上 的 标准 


系统 漏洞 及 其 他 安全 隐患 的 
标准 化 名 称 列表 


CERT 漏洞 ， 事 故 以 及 补丁 


漏洞 列表 及 安全 报告 


附 表 A-2 安全 扫描 工具 的 网 站 


组 织 名称 网 站 地 址 产品 名 称 成 本 
Nessus http://www.nessus.org Nessus 安全 扫描 工具 免费 
:/h mi i Ee 
微软 公司 bttp//wwwmierosoft.com/technet/ 微软 Baseline 安全 分 析 器 免费 
security/tools/mbsahome.mspx 
Foundstone http://www.foundstone.com Foundstone Professional 每 年 12000 美元 
Insecure.org http://www.insecure.org Nmap 免费 
GFi http://www.gif.com GFi LanGuard 499 美元 
Internet 安全 中 心 。 http://www.cisecurity.org CIS 安全 基准 及 得 分 工具 “免费 
人 We、 
附 表 A-3 ”操作 系统 指纹 识别 工具 
组 织 名 称 网 站 地 址 产品 名 称 
Insecure.org http://www.insecure.org Nmap 
Safemode.org http://www.safemode.org/sprint/ Sprint 
Sys-Security Group http://www.sys-security.com/html/projects/X.html Xprobe2 
附 表 A-4 安全 漏洞 邮寄 列表 
组 织 名 称 网 站 地 址 描述 
Security Focus http://www.securityfocus.com/subscribe?listname=1 ”最 新 的 漏洞 邮寄 名 单 
SANS Institute & http://www.sans.org/newsletters/ SANS 通信 及 邮寄 列表 摘要 订阅 
Sintelli http://www.sintelli.com SINTRAQ 安全 漏洞 邮寄 列表 
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附录 A-5 黑客 大 会 


1. BlackHat 


http://www.blackhat.com/ 
2. CanSecWest 


http://www.cansecwest.com/ 


3. defcon 


http://www.defcon.org 
4. Hacker&Phreaker 
5. HackerZ Hideout 


6. Hackers haven 


部 分 信息 安全 相关 网 址 : 
http://www.cs.tufts.edu/~mcable/cypher/alerts/alerts.html (Cypherpunk) 
http://www.cs.tufts.edu/~mcable/HackerCrackdown (Hacker Crackdown) 
http://www.cs.umd.edu/~lgas 
http://www.cs.cmu.edu:8001/afs/cs.cmu.edu/user/bsy/www/sec.html (Security) 
http://www.csd.harris.com/secure_info.html (Harris) 
http://www.csl.sri.com/ (SRI Computer Science Lab) 
http://www.cybercafe.org/cybercafe/pubtel/pubdir.html (CyberCafe) 
http://www.datafellows.fi/ (Data Fellows) 
http://www.delmarva.com/raptor/raptor.html (Raptor Network Isolator) 
http://www.demon.co.uk/kbridge (KarlBridge) 
http://www.digicash.com/ecash/ecash-home.html (Digital Cash) 
http://www.digital.com/info/key-secure-index.html(Digital Secure Systems) 
http://www.eecs.nwu.edu/~jmyers/bugtraq/index.html(Bugtraq) 
http://www.eecs.nwu.edu/~jmyers/ids/index.html (Intrusion Detection Systems) 
http://www.eff.org/papers.html (EFF) 
http://www.engin.umich.edu/~jgotts/boxes.html (Box info) 
http://www.engin.umich.edu/~jgotts/hack-faq.html(This document) 
http://www.engin.umich.edu/~jgotts/underground.html 
http://www.ensta.fr/internet/unix/sys_admin (System administration) 
http://www.etext.org/Zines/ (Zines) 

http://www.fc.net/defcon (DefCon) 


三 刘 坪 


http://www.fc.net/phrack.html (Phrack Magazine) 

http://www.first.org/first/ (FIRST) 

http://www.greatcircle.com/ (Great Circle Associates) 

http://www.ic.gov/ (The CIA) 

http://www.lerc.nasa.gov/Unix_Team/Dist Computing Security.html (Security) 
http://www.lysator.liu.se:7500/terror/thb_title.html (Terrorists Handbook) 
http://www.lysator.liu.se:7500/mit-guide/mit-guide.html (Lockpicking Guide) 
http://www.net23.com/ (Max Headroom) 

http://www.nist.gov/ (NIST) 

http://www.pacbell.com/ (Pacific Bell) 

http://www.paranoia.com/mthreat (ToneLoc) 
http://www.pegasus.esprit.ec.org/people/ame/pgp.html (PGP) 
http://www.phantom.com/~king (Taran King) 
http://www.quadralay.com/www/Crypt/Crypt.html (Quadralay Cryptography) 
http://www.qualcomm.com/cdma/wireless.html (Qualcomm CDMA) 
http://www.research.att.com/ (AT&T) 

http://ripco.com:8080/~glr/glr.html (Full Disclosure) 

http://www.rsa.com/ (RSA Data Security) 383 
http://www.satelnet.org/~ccappuc 

http://www.service.com/cm/uswest/uswl1.html (US West) 

http://www.shore.net/~oz/welcome.html (Hack TV) 

http://www.spy.org/ (Computer Systems Consulting) 

http://www.sri.com/ (SRI) 

http://www.tansu.com.au/Info/security.html (Security Reference Index) 

http://www.tis.com/ (Trusted Information Systems) 

http://www.tri.sbe.com/ (Southwestern Bell) 

http://www.uci.agh.edu.pl/pub/security (Security) 
http:/www.umcc.umich.edu/~doug/virus-faq.html (Virus) 
http://www.usfca.edu/crackdown/crack.html (Hacker Crackdown) 
http://www.wam.umd.edu/~ankh/Public/devil_does_ unix 

http://www.wiltel.com/ (Wiltel) 

http://www.wintermet.com/~carolann/dreams.html 

http://www.wired.com/ (Wired Magazine) 

http://www.hacker.org/undertop.html 

http://www.ilf.net/ 
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